L’analyse de risques est le socle de toute demarche de securite des systemes d’information. Elle est imposee par des textes aussi divers que le RGPD (article 32), la directive NIS2 (article 21) ou la norme ISO 27001. Mais quelle methode choisir ? En France, deux referentiels dominent : EBIOS Risk Manager (EBIOS RM), la methode de l’ANSSI, et ISO 27005, la norme internationale dediee a la gestion des risques de securite de l’information. Cet article analyse en profondeur ces deux methodes, leurs differences structurelles, et les criteres qui doivent guider votre choix.

I. Pourquoi l’analyse de risques est juridiquement obligatoire

A. Les fondements juridiques

L’obligation d’analyser les risques pesant sur les systemes d’information ne releve pas du simple bon sens : elle est inscrite dans plusieurs textes contraignants.

L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en oeuvre des mesures de securite “appropriees” compte tenu, entre autres, des “risques” presentes par le traitement. Les obligations de l’article 32 ne peuvent etre satisfaites sans une analyse de risques prealable, puisque le caractere “approprie” des mesures ne peut etre determine qu’au regard des risques identifies.

L’article 21 de NIS2 est encore plus explicite : il impose aux entites concernees des “politiques relatives a l’analyse des risques et a la securite des systemes d’information” comme premiere mesure de gestion des risques. La checklist de conformite NIS2 place logiquement l’analyse de risques en tete des chantiers.

L’ISO 27001 fait de l’appreciation des risques une exigence centrale de son systeme de management de la securite de l’information (SMSI). Sans analyse de risques documentee, la certification est impossible.

B. Les consequences d’une analyse absente ou deficiente

La CNIL a sanctionne a plusieurs reprises des organisations qui n’avaient pas realise d’analyse de risques prealable au deploiement de mesures de securite, ou dont l’analyse etait superficielle. L’absence d’analyse de risques formalisee constitue en elle-meme un manquement, independamment de la qualite des mesures de securite effectivement deployees. L’autorite de controle considere en effet qu’une organisation qui n’a pas evalue ses risques ne peut pas demontrer que ses mesures sont “adaptees” au sens de l’article 32.

II. EBIOS Risk Manager : la methode de l’ANSSI

A. Historique et positionnement

EBIOS (Expression des Besoins et Identification des Objectifs de Securite) est une methode francaise creee par la DCSSI (devenue ANSSI) en 1995. Elle a connu plusieurs versions successives avant d’aboutir a EBIOS Risk Manager, publiee en 2018. Cette derniere version marque une rupture methodologique avec les versions precedentes en adoptant une approche centree sur les scenarios de menaces et les ecosystemes.

EBIOS RM est la methode recommandee par l’ANSSI pour les administrations et les operateurs d’importance vitale (OIV). Elle est egalement la methode de reference pour les analyses d’impact relatives a la protection des donnees (AIPD) en complement des recommandations de la CNIL.

B. Les cinq ateliers d’EBIOS RM

EBIOS RM s’organise autour de cinq ateliers sequentiels qui structurent la demarche d’analyse :

Atelier 1 – Cadrage et socle de securite. Cet atelier definit le perimetre de l’etude, identifie les missions et les valeurs metier de l’organisation, recense les biens supports (systemes d’information, reseaux, locaux) et etablit le socle de securite applicable. Le socle de securite correspond aux mesures de base qui doivent etre implementees independamment de l’analyse de risques (regles d’hygiene informatique, conformite reglementaire). A ce stade, il est utile de s’appuyer sur une politique de securite des systemes d’information existante.

Atelier 2 – Sources de risques. L’objectif est d’identifier les sources de risques (SR) et les objectifs vises (OV). Une source de risque est une entite ou un evenement susceptible de porter atteinte aux valeurs metier : un groupe cybercriminel cherchant un gain financier, un concurrent visant l’espionnage industriel, un employe malveillant, un hacktiviste. Chaque couple SR/OV est evalue en pertinence.

Atelier 3 – Scenarios strategiques. Cet atelier cartographie l’ecosysteme de l’organisation (partenaires, fournisseurs, prestataires, sous-traitants) et construit des scenarios d’attaque de haut niveau decrivant comment une source de risque pourrait atteindre ses objectifs en passant par les parties prenantes de l’ecosysteme. C’est une originalite d’EBIOS RM : la methode integre nativement les risques lies a la chaine d’approvisionnement, un point devenu central avec NIS2.

Atelier 4 – Scenarios operationnels. Les scenarios strategiques sont declines en scenarios operationnels detailles, decrivant les modes operatoires techniques : exploitation de vulnerabilites, compromission d’un prestataire, attaque par ingenierie sociale, mouvement lateral dans le reseau. La vraisemblance de chaque scenario est evaluee.

Atelier 5 – Traitement du risque. Les risques identifies sont evalues en termes de gravite et de vraisemblance, puis positionnes sur une matrice de risques. Pour chaque risque, une strategie de traitement est definie : reduction (mise en place de mesures), transfert (assurance cyber), acceptation (decision formelle de la direction) ou evitement (suppression de l’activite). Les mesures de securite retenues forment le plan de traitement des risques.

C. Forces et limites d’EBIOS RM

EBIOS RM presente plusieurs avantages significatifs. L’approche par scenarios la rend concrete et comprehensible pour les decideurs. L’integration des risques lies a l’ecosysteme est particulierement pertinente dans le contexte actuel. La methode est adaptee au contexte reglementaire francais et europeen.

Ses limites sont essentiellement pratiques : la methode est relativement lourde a deployer, necessitant des ateliers multiples avec de nombreuses parties prenantes. Elle requiert une expertise en cybersecurite pour identifier les scenarios operationnels de maniere realiste. Enfin, elle n’est pas normalisee au niveau international, ce qui peut poser des difficultes dans un contexte multinational.

III. ISO 27005 : la norme internationale

A. Positionnement dans la famille ISO 27000

L’ISO 27005 est la norme internationale dediee a la gestion des risques lies a la securite de l’information. Elle s’inscrit dans la famille ISO 27000 et est concue pour alimenter le processus d’appreciation des risques exige par l’ISO 27001. La version actuelle (ISO 27005:2022) a ete significativement revisee pour s’aligner avec l’evolution des menaces et des pratiques.

B. Le processus de gestion des risques

ISO 27005 definit un processus de gestion des risques en plusieurs phases :

Etablissement du contexte. Definir le perimetre, les criteres d’evaluation des risques (echelles de probabilite et d’impact), les criteres d’acceptation des risques et le cadre organisationnel.

Identification des risques. Identifier les actifs (primaires et de support), les menaces, les vulnerabilites existantes et les consequences potentielles. ISO 27005 s’appuie sur un modele classique menace-vulnerabilite-consequence, different de l’approche par scenarios d’EBIOS RM.

Analyse des risques. Evaluer la probabilite de survenance de chaque scenario de risque et l’impact potentiel. L’analyse peut etre qualitative (echelles ordinales), quantitative (valeurs monetaires, probabilites numeriques) ou semi-quantitative (combinaison des deux).

Evaluation des risques. Comparer les risques analyses avec les criteres d’acceptation definis prealablement. Prioriser les risques a traiter.

Traitement des risques. Definir les options de traitement pour chaque risque : modification (mesures de securite), maintien (acceptation), evitement ou partage (transfert). Le plan de traitement des risques alimente directement la declaration d’applicabilite (DdA) de l’ISO 27001.

Communication, concertation, surveillance et revue. Le processus est iteratif et doit etre regulierement revu. ISO 27005 insiste sur la communication des risques aux parties prenantes et la surveillance continue de l’environnement de menaces.

C. Forces et limites de l’ISO 27005

L’ISO 27005 beneficie d’une reconnaissance internationale qui facilite les demarches de certification et les audits multinationaux. Son integration avec l’ISO 27001 est native et documentee. La norme offre une grande flexibilite methodologique : elle definit le “quoi” mais pas le “comment”, laissant les organisations choisir leurs outils d’identification et d’evaluation.

Cette flexibilite est aussi sa principale limite. L’ISO 27005 ne fournit pas de methode detaillee pour conduire les ateliers, ce qui peut derouter les organisations qui debutent en analyse de risques. Elle est moins prescriptive qu’EBIOS RM sur les scenarios d’attaque et l’ecosysteme.

IV. EBIOS RM vs ISO 27005 : tableau comparatif

Critere	EBIOS RM	ISO 27005
Origine	ANSSI (France)	ISO (international)
Approche	Scenarios de menaces	Menace-vulnerabilite
Ecosysteme	Nativement integre (atelier 3)	Non specifiquement traite
Flexibilite	Methodologie prescriptive	Cadre flexible
Certification	Non (methode)	Oui (norme, via ISO 27001)
Complexite de deploiement	Elevee (5 ateliers)	Variable selon implementation
Reconnaissance	France, Europe	Internationale
Integration supply chain	Oui	Limitee

V. Comment choisir entre les deux methodes

A. Critere 1 : le contexte reglementaire

Si votre organisation est soumise a NIS2 et opere principalement en France, EBIOS RM est le choix naturel. L’ANSSI la recommande explicitement et les inspections tiendront compte de cette methode. Si vous visez une certification ISO 27001, l’ISO 27005 s’integre plus naturellement dans la demarche. Les deux approches ne sont pas mutuellement exclusives : un audit de securite informatique peut utiliser EBIOS RM pour les risques strategiques et s’appuyer sur l’ISO 27005 pour le cadre global de gestion.

B. Critere 2 : le perimetre geographique

Les organisations multinationales privilegieront souvent l’ISO 27005 pour son universalite. EBIOS RM, bien que rigoureuse, est peu connue hors de l’espace francophone. L’ENISA reference toutefois EBIOS RM parmi les methodes europeennes d’analyse de risques, ce qui contribue a sa diffusion.

C. Critere 3 : la maturite en securite

Les organisations peu matures en cybersecurite pourront trouver EBIOS RM plus accessible car plus directive. L’ISO 27005 laisse davantage de liberte mais suppose une capacite a definir ses propres procedures. Le role du RSSI est determinant dans ce choix : un RSSI experimente saura tirer parti de la flexibilite de l’ISO 27005, tandis qu’une organisation sans RSSI dedie beneficiera du cadre structure d’EBIOS RM.

D. L’approche hybride

En pratique, de nombreuses organisations adoptent une approche hybride : elles utilisent le cadre global de l’ISO 27005 pour structurer leur processus de gestion des risques et recourent a EBIOS RM pour conduire les analyses de risques elles-memes, en particulier les ateliers de scenarios. Cette combinaison tire parti des forces des deux methodes et satisfait tant les exigences de l’ANSSI que celles d’un audit ISO 27001. La documentation produite alimente directement le plan de continuite d’activite et le plan de traitement des risques exige par la norme.

Le texte de reference europeen pour NIS2 est disponible sur EUR-Lex, et les guides sectoriels de l’ANSSI apportent des precisions sur les attentes specifiques par secteur.

FAQ

L’analyse de risques est-elle obligatoire au titre du RGPD ?

Oui. L’article 32 du RGPD impose des mesures de securite “adaptees au risque”, ce qui presuppose une evaluation prealable des risques. La CNIL considere que l’absence d’analyse de risques formalisee constitue un manquement autonome, independamment de la qualite des mesures de securite deployees. Au-dela de l’article 32, l’article 35 impose une analyse d’impact (AIPD) pour les traitements susceptibles d’engendrer un risque eleve pour les droits des personnes.

Peut-on utiliser EBIOS RM pour une certification ISO 27001 ?

Oui, sans difficulte. L’ISO 27001 exige une methode d’appreciation des risques documentee mais ne prescrit pas de methode specifique. EBIOS RM satisfait pleinement les exigences de l’ISO 27001 en matiere d’identification, d’analyse et d’evaluation des risques. De nombreuses organisations certifiees ISO 27001 en France utilisent EBIOS RM. L’important est de documenter la correspondance entre les ateliers EBIOS RM et les exigences de la norme.

A quelle frequence faut-il realiser une analyse de risques ?

Il n’existe pas de frequence legalement imposee, mais les bonnes pratiques et la jurisprudence de la CNIL indiquent qu’une revue annuelle constitue un minimum. L’analyse doit en outre etre actualisee lors de tout changement significatif : evolution du systeme d’information, nouveau traitement de donnees, incident de securite, modification de l’environnement de menaces. NIS2 impose une approche “all-hazards”, ce qui implique une veille continue sur les risques emergents.

Quelle est la difference entre analyse de risques et audit de securite ?

L’analyse de risques est une demarche prospective : elle identifie les risques potentiels et definit les mesures a mettre en place. L’audit de securite est une demarche d’evaluation : il verifie si les mesures effectivement deployees sont conformes aux exigences et efficaces. Les deux demarches sont complementaires. L’analyse de risques definit la cible ; l’audit de securite mesure l’ecart entre la situation reelle et cette cible.