Guide utilisateur

🔐 Module Cybersécurité

Conduite d'une analyse de risques cyber avec EBIOS Risk Manager (5 ateliers) et sécurité des systèmes industriels avec IEC 62443.

1Vue d'ensemble du module

Le module Cybersécurité couvre deux méthodes complémentaires :

🏛
EBIOS RM
5 ateliers — systèmes d'information
🏭
IEC 62443
Sécurité OT — systèmes industriels
📊
Pilotage
Plan de traitement et suivi des mesures
📄
Rapport
Export Word complet EBIOS ou IEC

Flux de travail EBIOS RM

A1 — Contexte A2 — Biens & Sources A3 — Scénarios stratégiques A4 — Scénarios opérationnels A5 — Traitement

2Créer un projet cybersécurité

Depuis la page d'accueil, cliquez sur Nouveau projet et choisissez le type adapté à votre contexte :

Type de projetMéthodes inclusesUsage
Cyber SIEBIOS Risk Manager (5 ateliers)Systèmes d'information, ANSSI
Cyber OTEBIOS RM + IEC 62443Systèmes industriels connectés (SCADA, automates)
Multi-modulesCyber + Risques Industriels ou EVRPPérimètre mixte SI/OT/physique
Le type Cyber OT est recommandé pour les installations disposant d'automates, de SCADA ou de tout système de contrôle-commande connecté au réseau.

3EBIOS — Atelier 1 : Contexte

L'atelier 1 définit le périmètre de l'étude, les biens supports et les parties prenantes. C'est la base sur laquelle s'appuient tous les ateliers suivants.

Atelier 1 — Contexte EBIOS
Atelier 1 — identification de l'objet de l'étude, périmètre et biens supports

À renseigner dans l'atelier 1

RubriqueDescription
Objet de l'étudeNom, description et version du système analysé
PérimètreCe qui est inclus et exclu de l'analyse
Biens supportsSystèmes, applications, données, réseaux, personnes sur lesquels repose la mission
Parties prenantesFournisseurs, prestataires, partenaires avec accès au SI
Événements redoutésImpacts métier craints en cas d'atteinte à la disponibilité, l'intégrité ou la confidentialité
Valeurs métierProcessus critiques que le SI doit protéger
Les biens supports définis ici sont réutilisés dans les ateliers 3 et 4 pour construire les chemins d'attaque.

4EBIOS — Atelier 2 : Biens essentiels & sources de risque

L'atelier 2 identifie les biens essentiels (ce que l'on protège) et les sources de risque (qui pourrait attaquer et avec quelles motivations).

Biens essentiels
Biens essentiels — valeurs métier et niveaux de besoin DIC
Sources de risque
Sources de risque — catégories et couples SR/OV retenus

Biens essentiels

Pour chaque bien essentiel, évaluez les besoins de sécurité selon les trois critères DIC :

CritèreQuestionExemple de niveau
DisponibilitéQuel est l'impact d'une indisponibilité ?1 Faible → 4 Critique
IntégritéQuel est l'impact d'une altération ?1 Faible → 4 Critique
ConfidentialitéQuel est l'impact d'une divulgation ?1 Faible → 4 Critique

Sources de risque et objectifs visés

Sélectionnez les couples Source de Risque / Objectif Visé (SR/OV) pertinents pour votre contexte. Seuls les couples retenus alimenteront l'atelier 3.

Limitez-vous aux couples SR/OV réellement plausibles pour votre secteur. Un trop grand nombre de sources dilue l'analyse et alourdit les ateliers suivants.

5EBIOS — Atelier 3 : Scénarios stratégiques

L'atelier 3 construit les scénarios stratégiques : pour chaque couple SR/OV retenu, on trace les chemins d'attaque via les parties prenantes et on évalue le niveau de menace.

Scénarios stratégiques
Atelier 3 — scénarios stratégiques avec niveau de menace et parties prenantes
Diagramme scénarios
Vue diagramme — chemins d'attaque via l'écosystème

Construire un scénario stratégique

  1. Sélectionnez un couple SR/OV dans la liste des couples retenus en A2
  2. Identifiez les parties prenantes pouvant servir de vecteur d'attaque (fournisseur, prestataire, partenaire)
  3. Évaluez le niveau de menace : motivation × capacité de la source de risque
  4. Notez les biens supports ciblés et les impacts métier associés
Le diagramme de visualisation permet de voir d'un coup d'œil les chemins d'attaque les plus exposés via l'écosystème de parties prenantes.

6EBIOS — Atelier 4 : Scénarios opérationnels

L'atelier 4 décrit les modes opératoires techniques : comment concrètement un attaquant pourrait exploiter les vulnérabilités des biens supports pour atteindre son objectif.

Scénarios opérationnels
Atelier 4 — scénarios opérationnels avec vraisemblance et biens supports
Radar parties prenantes
Radar d'exposition des parties prenantes

Structure d'un scénario opérationnel

ÉlémentDescription
Scénario stratégique parentLien avec le SR/OV de l'atelier 3
Bien support cibléSystème, application ou réseau visé
Mode opératoireTechnique d'attaque (phishing, exploit, accès physique…)
VraisemblanceProbabilité de réussite de ce chemin d'attaque
L'assistant IA peut générer automatiquement des scénarios opérationnels à partir d'une description de votre infrastructure. Accédez au Cadrage IA depuis le menu latéral.

7EBIOS — Atelier 5 : Traitement du risque

L'atelier 5 définit la stratégie de traitement pour chaque risque identifié et construit le plan de traitement avec les mesures de sécurité associées.

Traitement du risque
Atelier 5 — options de traitement, mesures de sécurité et risque résiduel

Options de traitement

OptionSignification
RéduireMettre en place des mesures pour abaisser la vraisemblance ou l'impact
ÉviterSupprimer l'activité ou le système exposé au risque
TransférerReporter le risque sur un tiers (assurance, sous-traitance)
AccepterDécider en connaissance de cause de ne pas traiter le risque

Plan de traitement

Pour chaque mesure de sécurité retenue, renseignez le responsable, l'échéance et le coût estimé. Le suivi des mesures (page Pilotage) consolide l'avancement en temps réel.

Pilotage EBIOS
Pilotage — tableau de bord du plan de traitement avec avancement par mesure

8IEC 62443 — Sécurité des systèmes industriels

La norme IEC 62443 structure la sécurité des systèmes OT (automates, SCADA, réseaux industriels) par zones de sécurité et niveaux de sécurité cibles (SL-T).

IEC 62443 — Contexte
IEC 62443 — contexte de l'étude et périmètre OT
Diagramme SUC
Diagramme SUC — System Under Consideration avec zones et conduits

Zones de sécurité (ZCR)

Chaque zone regroupe des équipements OT avec un même niveau de risque. Pour chaque zone, l'analyse couvre :

Zone ZCR1
Zone ZCR1 — équipements, risques et niveau de sécurité cible
Vulnérabilités ZCR1
Vulnérabilités de la zone — analyse des écarts et mesures compensatoires
ÉtapeDescription
Identification des équipementsAutomates, HMI, serveurs SCADA, switches industriels…
Niveau de sécurité cible (SL-T)SL 1 à SL 4 selon le niveau de risque de la zone
Analyse des vulnérabilitésÉcart entre les exigences SL-T et l'état réel des équipements
Mesures compensatoiresActions pour atteindre le niveau cible
Conformité IEC
Vue conformité — taux d'atteinte des exigences par zone
Métriques IEC
Métriques — échelles de cotation adaptées au contexte OT
Le diagramme SUC (System Under Consideration) représente graphiquement les zones, les conduits et les interfaces entre systèmes IT et OT. Il est généré automatiquement depuis les données de zones.

9Générer le rapport

EasyRisk génère des rapports Word complets pour EBIOS RM et IEC 62443, directement depuis le navigateur sans installation de logiciel supplémentaire.

Rapport EBIOS
Rapport EBIOS — aperçu et options d'export Word
Rapport IEC
Rapport IEC 62443 — synthèse par zone et plan de traitement

Générer le rapport Word

  1. Ouvrez la page Rapport depuis le menu de navigation (EBIOS ou IEC 62443)
  2. Sélectionnez les sections à inclure (contexte, tableaux, cartographie des risques…)
  3. Cliquez sur ⬇ Exporter Word (.docx) — le fichier est généré dans votre navigateur
  4. Le rapport est nommé automatiquement avec le titre du projet et la date

Partage et collaboration

Partage EBIOS
Partage de projet — invitation de collaborateurs avec droits éditeur ou lecteur
Le mode Lecteur permet à un auditeur ou à la direction de consulter l'analyse sans pouvoir la modifier. Partagez le projet depuis la page Gestion du projet.
L'export Excel est disponible pour les tableaux de biens supports, scénarios et mesures — utilisez le bouton ⬇ Excel sur chaque page d'analyse.