Début 2022, le Club EBIOS et l’ANSSI ont lancé une campagne de concertation et un appel à commentaires visant à compléter et à préciser la méthode EBIOS RM. Cette campagne a bénéficié d’un succès massif (plus de 130 propositions concrètes), et le document produit à cette occasion a servi de point de départ pour un cycle de révision de la méthode.
Ce cycle a abouti en 2024 à la parution d’une version 1.5 d’EBIOS RM. Travail majeur de consolidation, cette mise à jour cherche principalement à préciser les concepts utilisés, à expliciter l’alignement avec l’ISO 27005:2022 et à proposer un référentiel plus uniforme. C’est une première étape, qui sera complétée dans le futur par une mise à jour des fiches méthodes. Les changements les plus significatifs portent sur le vocabulaire, et l’ajout d’éléments d’informations.
- Ces deux listes ne sont pas exhaustives, et elles seront à compléter lorsque les fiches méthodes auront à leur tour été mises à jour.
- Les supports de formation officiels sont alignés avec le vocabulaire proposé en EBIOS RM 1.5
Les changements qui portent sur le vocabulaire
Le PACS
Le terme « PACS » (pour « Plan d’Amélioration Continue de la Sécurité ») a été remplacé par le terme Plan de Traitement du Risque. C’est un alignement avec la proposition ISO 27005:2022.
C’est aussi un choix de simplification et de clarification. PACS couvre en effet d’autres concepts (civils, ou spécifiques cyber). Même si la formulation originale cherchait à mettre l’accent sur l’intégration de ce plan de traitement au process d’amélioration continue, la réalité terrain n’a pas validé cette appréciation.
La menace
Le terme « Menace » sur les parties prenantes a été remplacé par le terme « Dangerosité ». Ce terme utilisé dans l’évaluation de l’écosystème souffrait d’une connotation négative (et sous entendant une démarche volontaire), inexacte vis-à-vis de l’approche choisie. Par définition, une partie prenante n’a pas en première intention d’hostilité à l’égard du périmètre de l’analyse de risques.
Les responsables
Le terme « responsable » (au sens responsable de VM ou de BS) a été remplacé par le terme propriétaire. Ce choix est à nouveau plus proche du terrain et plus précis. C’est aussi un alignement sur l’ISO27005:2022.
Tableau récapitulatif des changements
| EBIOS RISK MANAGER 2018 | EBIOS RISK MANAGER 2024 |
|---|---|
| Plan d’Amélioration Continue de la Sécurité | Plan de Traitement du Risque |
| Menace | Dangerosité |
| Entité ou personne responsable | Propriétaire |
Informations complémentaires
D’autres compléments se concentrent sur l’expression d’éléments qui sont déjà mis en œuvre par les praticiens de la méthode :
- Le rapprochement avec l'ISO27005:2022 est désormais formel et indiqué noir sur blanc
- Le croisement des ER & des SR/OV est explicite en sortie d'atelier 2, alors que par le passé c'était une activité implicite lors de la construction des scénarios stratégiques. Cette modification est un alignement avec les supports de formation, et correspond aux pratiques du terrain.
- Des compléments sont fournis sur la constitution des chemins d'attaques : identification des chemins directs et indirects, possibilité de ne pas les détailler s'ils sont redondants.
- La notion de mécanisme de surveillance (concept ISO 27005:2022) est abordée, et participe à renforcer les activités post analyse de risques.
- Des nouveaux opérateurs (ET/OU) apparaissent sur les scénarios opérationnels. Ils sont surtout le rappel de l'un des objectifs de ces visuels : être un support de communication pertinent.
Cette version 1.5 d’EBIOS RM n’est donc pas une révolution, mais une évolution significative. Sans introduire de rupture dans les habitudes de travail déjà ancrées auprès des praticiens, elle facilite l’appropriation de la méthode, et consacre un lien très fort entre cadre théorique (la norme, et la méthode), et réalité du terrain.
