EBIOS RM est la méthode officielle d’analyse des risques cyber publiée par l’ANSSI. Ce guide détaille ses cinq ateliers, ses cas d’usage concrets et la formation qui mène à la certification. Objectif : vous donner les clés pour piloter une appréciation des risques fiable, conforme et exploitable.
Qu’est-ce que la méthode EBIOS RM ?
EBIOS RM signifie Expression des Besoins et Identification des Objectifs de Sécurité, Risk Manager. Il s’agit de la méthode d’appréciation et de traitement des risques numériques publiée par l’ANSSI, avec le soutien du Club EBIOS. Autrement dit, elle vous aide à identifier ce qui compte vraiment pour votre organisation, puis à décider comment le protéger.
La méthode possède une longue histoire. En effet, la première version d’EBIOS date de 1995, suivie d’actualisations en 2004 et 2010. L’ANSSI a ensuite publié EBIOS Risk Manager en octobre 2018, puis une mise à jour le 27 mars 2024. Cette version récente s’aligne notamment sur la norme ISO/CEI 27005:2022.
EBIOS RM se distingue par une double approche. D’une part, elle s’appuie sur un socle de sécurité construit par conformité aux référentiels applicables. D’autre part, elle sollicite ce socle à travers des scénarios d’attaque réalistes. Par ailleurs, le guide reste gratuit et téléchargeable sur le site cyber.gouv.fr de l’ANSSI.
Les 5 ateliers de la méthode EBIOS RM
La méthode EBIOS RM s’articule autour de cinq ateliers séquentiels et itératifs. Chaque atelier produit un livrable qui alimente le suivant. Voici leur logique d’ensemble.
Atelier 1 : cadrage et socle de sécurité
Ce premier atelier définit le périmètre de l’étude. Vous y recensez les valeurs métier, les biens supports et les événements redoutés. Vous évaluez également le socle de sécurité déjà en place.
Atelier 2 : sources de risque
Cet atelier identifie les sources de risque (SR) et leurs objectifs visés (OV). Une source peut être un cybercriminel, un État, un concurrent ou encore un employé malveillant. Vous priorisez ensuite les couples SR/OV les plus pertinents.
Atelier 3 : scénarios stratégiques
Ici, vous cartographiez l’écosystème et ses parties prenantes critiques. Vous construisez ensuite des scénarios de haut niveau. Ceux-ci décrivent les chemins d’attaque qu’une source pourrait emprunter pour atteindre son objectif.
Atelier 4 : scénarios opérationnels
Cet atelier détaille techniquement les scénarios précédents. Vous décrivez les modes opératoires, les vecteurs d’intrusion et les biens supports ciblés. La base de connaissances MITRE ATT&CK aide ainsi à estimer la vraisemblance de chaque scénario.
Atelier 5 : traitement du risque
Le dernier atelier synthétise tous les risques étudiés. Vous choisissez alors une stratégie : réduire, transférer, éviter ou accepter. Enfin, vous formalisez un plan de traitement et un suivi des risques résiduels. À noter : l’ANSSI propose une cotation en gravité et en vraisemblance sur quatre niveaux chacune.
Au 24 juin 2026, EBIOS RM s’impose comme le langage commun des RSSI, des DSI et des auditeurs en France. De plus, elle s’applique à toute organisation, publique ou privée, quelle que soit sa taille. Cette polyvalence explique son adoption par les opérateurs d’importance vitale comme par les PME.
Formation et certification EBIOS RM en Île-de-France
Maîtriser EBIOS RM demande de la pratique. Pour débuter, l’ANSSI et le Club EBIOS proposent un MOOC gratuit qui présente les fondamentaux. Toutefois, ce module ne remplace pas une formation complète.
Une formation certifiante s’adresse en priorité aux RSSI, consultants, chefs de projet, risk managers et auditeurs. La plupart des programmes durent environ trois jours. Un prérequis revient souvent : disposer de bases en gestion des risques. À l’issue, vous pouvez viser une certification ebios rm reconnue, par exemple via PECB, LSTI, AFNOR ou le CFSSI de l’ANSSI.
En Île-de-France, vous pouvez suivre une formation EBIOS RM tout près de Paris. ESIC dispense ainsi une formation « Analyse de risque : ISO/CEI 27005 et EBIOS RM » sur son campus de Malakoff, en Ile de France. Cette formation se déroule en présentiel à Paris et en IDF, ou bien à distance. Elle combine apports théoriques et exercices pratiques, puis se conclut par le passage d’une certification. Vous pouvez consulter le détail des formations cybersécurité et EBIOS RM d’ESIC.
FAQ : vos questions sur EBIOS RM
EBIOS RM est-elle obligatoire ?
Aucune loi ne l’impose nommément. Cependant, l’ANSSI l’attend de facto pour la conformité NIS2, et la CNIL la recommande pour les AIPD.
Quelle différence entre EBIOS RM et ISO 27005 ?
La norme ISO 27005 fixe un cadre générique de gestion des risques. EBIOS RM en propose une mise en œuvre concrète, orientée scénarios, et alignée sur cette norme depuis 2022.
Combien de temps dure une analyse EBIOS RM ?
Cela dépend du périmètre. Une étude complète représente souvent plusieurs jours de travail répartis sur quelques semaines à quelques mois.
Faut-il être technicien pour suivre une formation EBIOS RM ?
Non. La méthode implique aussi des décideurs et des métiers. Des bases en gestion des risques suffisent généralement pour démarrer.
Où télécharger la méthode EBIOS RM ?
Le guide officiel est disponible gratuitement sur le site cyber.gouv.fr de l’ANSSI.
EBIOS RM offre donc un cadre rigoureux pour transformer la crainte du risque cyber en décisions concrètes. Ses cinq ateliers relient enfin les enjeux métier aux mesures techniques. Pour rappel, cette méthode reste gratuite, documentée et reconnue à l’échelle nationale.
Il est utile de souligner que la maîtrise d’EBIOS RM s’inscrit dans un parcours plus large en cybersécurité. Rappelons par ailleurs que la gestion des risques côtoie d’autres compétences recherchées, comme l’analyse SOC, la conformité ou la reconversion vers les métiers du numérique. Si vous souhaitez vous former, les formations cybersécurité d’ESIC en Île-de-France constituent un point de départ crédible pour acquérir et certifier ces compétences.
