EBIOS Risk Manager
Méthode française d'analyse des risques cyber publiée et maintenue par l'ANSSI. Sa dernière version, EBIOS Risk Manager (2018), structure l'analyse en cinq ateliers — cadrage, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement du risque.
Ce qu’est EBIOS Risk Manager
EBIOS Risk Manager est la méthode française de référence pour conduire une analyse de risque cyber. Maintenue par l’ANSSI, elle est compatible avec ISO 27005 et reconnue par les organismes de certification ISO 27001 français.
Elle est particulièrement adaptée aux contextes où le risque doit être discuté entre métiers, direction et équipes techniques — c’est-à-dire la majorité des contextes réels.
Les cinq ateliers
- Cadrage et socle de sécurité — périmètre, valeurs métier, événements redoutés, socle existant.
- Sources de risque — qui peut attaquer, avec quelles motivations et quelles ressources (cybercriminels, hacktivistes, États, employés malveillants…).
- Scénarios stratégiques — chaînes d’attaque vraisemblables au niveau métier.
- Scénarios opérationnels — détail technique de chaque scénario (étapes, vulnérabilités exploitées, données ciblées).
- Traitement du risque — choix entre acceptation, réduction, transfert ou évitement, et plan d’action.
Pourquoi EBIOS plutôt qu’une autre méthode
EBIOS sépare le « stratégique » du « opérationnel », ce qui permet de tenir une discussion CODIR sans plonger immédiatement dans les détails techniques. Elle est mieux acceptée que des méthodes plus américaines (NIST RMF) dans les contextes français et européens, notamment pour les organismes publics et les entités essentielles NIS2.
EBIOS chez Hexceos
Nos consultants conduisent des analyses de risque EBIOS Risk Manager dans le cadre des missions de mise en conformité ISO 27001 et NIS2. Voir services audit & conformité.
Termes liés
Dernière mise à jour : 19 mai 2026