1Vue d'ensemble du module
Le module Cybersécurité couvre deux méthodes complémentaires :
Flux de travail EBIOS RM
2Créer un projet cybersécurité
Depuis la page d'accueil, cliquez sur Nouveau projet et choisissez le type adapté à votre contexte :
| Type de projet | Méthodes incluses | Usage |
|---|---|---|
| Cyber SI | EBIOS Risk Manager (5 ateliers) | Systèmes d'information, ANSSI |
| Cyber OT | EBIOS RM + IEC 62443 | Systèmes industriels connectés (SCADA, automates) |
| Multi-modules | Cyber + Risques Industriels ou EVRP | Périmètre mixte SI/OT/physique |
3EBIOS — Atelier 1 : Contexte
L'atelier 1 définit le périmètre de l'étude, les biens supports et les parties prenantes. C'est la base sur laquelle s'appuient tous les ateliers suivants.
À renseigner dans l'atelier 1
| Rubrique | Description |
|---|---|
| Objet de l'étude | Nom, description et version du système analysé |
| Périmètre | Ce qui est inclus et exclu de l'analyse |
| Biens supports | Systèmes, applications, données, réseaux, personnes sur lesquels repose la mission |
| Parties prenantes | Fournisseurs, prestataires, partenaires avec accès au SI |
| Événements redoutés | Impacts métier craints en cas d'atteinte à la disponibilité, l'intégrité ou la confidentialité |
| Valeurs métier | Processus critiques que le SI doit protéger |
4EBIOS — Atelier 2 : Biens essentiels & sources de risque
L'atelier 2 identifie les biens essentiels (ce que l'on protège) et les sources de risque (qui pourrait attaquer et avec quelles motivations).
Biens essentiels
Pour chaque bien essentiel, évaluez les besoins de sécurité selon les trois critères DIC :
| Critère | Question | Exemple de niveau |
|---|---|---|
| Disponibilité | Quel est l'impact d'une indisponibilité ? | 1 Faible → 4 Critique |
| Intégrité | Quel est l'impact d'une altération ? | 1 Faible → 4 Critique |
| Confidentialité | Quel est l'impact d'une divulgation ? | 1 Faible → 4 Critique |
Sources de risque et objectifs visés
Sélectionnez les couples Source de Risque / Objectif Visé (SR/OV) pertinents pour votre contexte. Seuls les couples retenus alimenteront l'atelier 3.
5EBIOS — Atelier 3 : Scénarios stratégiques
L'atelier 3 construit les scénarios stratégiques : pour chaque couple SR/OV retenu, on trace les chemins d'attaque via les parties prenantes et on évalue le niveau de menace.
Construire un scénario stratégique
- Sélectionnez un couple SR/OV dans la liste des couples retenus en A2
- Identifiez les parties prenantes pouvant servir de vecteur d'attaque (fournisseur, prestataire, partenaire)
- Évaluez le niveau de menace : motivation × capacité de la source de risque
- Notez les biens supports ciblés et les impacts métier associés
6EBIOS — Atelier 4 : Scénarios opérationnels
L'atelier 4 décrit les modes opératoires techniques : comment concrètement un attaquant pourrait exploiter les vulnérabilités des biens supports pour atteindre son objectif.
Structure d'un scénario opérationnel
| Élément | Description |
|---|---|
| Scénario stratégique parent | Lien avec le SR/OV de l'atelier 3 |
| Bien support ciblé | Système, application ou réseau visé |
| Mode opératoire | Technique d'attaque (phishing, exploit, accès physique…) |
| Vraisemblance | Probabilité de réussite de ce chemin d'attaque |
7EBIOS — Atelier 5 : Traitement du risque
L'atelier 5 définit la stratégie de traitement pour chaque risque identifié et construit le plan de traitement avec les mesures de sécurité associées.
Options de traitement
| Option | Signification |
|---|---|
| Réduire | Mettre en place des mesures pour abaisser la vraisemblance ou l'impact |
| Éviter | Supprimer l'activité ou le système exposé au risque |
| Transférer | Reporter le risque sur un tiers (assurance, sous-traitance) |
| Accepter | Décider en connaissance de cause de ne pas traiter le risque |
Plan de traitement
Pour chaque mesure de sécurité retenue, renseignez le responsable, l'échéance et le coût estimé. Le suivi des mesures (page Pilotage) consolide l'avancement en temps réel.
8IEC 62443 — Sécurité des systèmes industriels
La norme IEC 62443 structure la sécurité des systèmes OT (automates, SCADA, réseaux industriels) par zones de sécurité et niveaux de sécurité cibles (SL-T).
Zones de sécurité (ZCR)
Chaque zone regroupe des équipements OT avec un même niveau de risque. Pour chaque zone, l'analyse couvre :
| Étape | Description |
|---|---|
| Identification des équipements | Automates, HMI, serveurs SCADA, switches industriels… |
| Niveau de sécurité cible (SL-T) | SL 1 à SL 4 selon le niveau de risque de la zone |
| Analyse des vulnérabilités | Écart entre les exigences SL-T et l'état réel des équipements |
| Mesures compensatoires | Actions pour atteindre le niveau cible |
9Générer le rapport
EasyRisk génère des rapports Word complets pour EBIOS RM et IEC 62443, directement depuis le navigateur sans installation de logiciel supplémentaire.
Générer le rapport Word
- Ouvrez la page Rapport depuis le menu de navigation (EBIOS ou IEC 62443)
- Sélectionnez les sections à inclure (contexte, tableaux, cartographie des risques…)
- Cliquez sur ⬇ Exporter Word (.docx) — le fichier est généré dans votre navigateur
- Le rapport est nommé automatiquement avec le titre du projet et la date
Partage et collaboration