1️⃣ EBIOS Risk Manager – Méthode d’analyse de risques de l’ANSSI
Qu’est-ce qu’EBIOS ?
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode d’analyse de risques développée par l’ANSSI. Utilisée par les administrations, OIV et entreprises françaises, elle est également compatible avec la norme ISO 27005 et le référentiel SecNumCloud.
📌 Les 5 ateliers EBIOS (version 2018/2022)
- Atelier 1 : Périmètre et socle de confiance – Définir les entités, biens support, contraintes réglementaires.
- Atelier 2 : Sources de menace – Identifier les acteurs malveillants (cybercriminels, États, initiés) et les événements non intentionnels.
- Atelier 3 : Événements redoutés – Cartographier les scénarios de crise (ex: exfiltration de données, ransomware).
- Atelier 4 : Vraisemblance et gravité – Évaluer la probabilité et l’impact des scénarios (échelle 1 à 4).
- Atelier 5 : Traitement du risque – Proposer des mesures de sécurité (acceptation, réduction, transfert, refus).
📦 Livrables EBIOS
- Registre des risques
- Cartographie des risques (matrice vraisemblance/gravité)
- Plan de traitement des risques (PSSI)
- Indicateurs de risque (KRI)
💡 Mon retour terrain : J’ai utilisé EBIOS pour analyser les risques sur des datalakes Cloudera (MAIF), des architectures cloud bancaires (DIAC) et des infrastructures multi-cloud (Danone). La méthode est structurante et très appréciée des RSSI.
2️⃣ ISO 27005 – La norme internationale d’analyse de risques
Place de l’ISO 27005 dans le SMSI
La norme ISO 27005 est le pendant technique d’ISO 27001 (SMSI). Elle décrit une méthode d’analyse de risques itérative, compatible avec les exigences de certification ISO 27001.
📌 Les 6 étapes clés (ISO 27005:2022)
- 1. Établissement du contexte – Périmètre, critères d’acceptation, parties prenantes.
- 2. Identification des risques – Actifs, menaces, vulnérabilités, impacts.
- 3. Estimation des risques – Probabilité × gravité (niveaux de risque).
- 4. Évaluation des risques – Comparaison avec les critères d’acceptation.
- 5. Traitement des risques – Réduction, transfert, acceptation, refus.
- 6. Communication et suivi – Reporting, revue continue.
🔗 Intégration avec les autres normes
- ISO 27001 : Management de la sécurité (SMSI)
- ISO 27017 : Contrôles de sécurité cloud
- ISO 27018 : Protection des données personnelles dans le cloud
- NIST SP 800-53 : Catalogue de contrôles (équivalence)
📋 Checklist livrables ISO 27005 :
- ☑️ Registre des risques (risk register)
- ☑️ Matrice de criticité (thermomètre des risques)
- ☑️ Plan de traitement des risques (PSSI)
- ☑️ Indicateurs de risque (KRI)
- ☑️ Rapport d’analyse des risques
3️⃣ Analyse de risques cloud – AWS, Azure, GCP
Pourquoi une analyse de risques spécifique au cloud ?
Le cloud introduit des risques particuliers : partage de responsabilités (responsabilité partagée), shadow IT, perte de contrôle des données, dépendance aux CSP (Cloud Service Providers), conformité (RGPD, SecNumCloud).
📌 Méthodologies adaptées
- NIST SP 800-30 : Guide d’analyse de risques pour les systèmes fédéraux (adaptable au cloud).
- ISO 27005 + extension cloud (ISO 27017/27018) : Prise en compte des contrôles cloud.
- EBIOS cloud : Adaptation ANSSI pour le cloud (ex: SecNumCloud).
AWS
- AWS Audit Manager
- AWS Security Hub
- AWS IAM Access Analyzer
- AWS Config (détection d’écarts)
- AWS Trusted Advisor
Azure
- Azure Purview
- Microsoft Defender for Cloud
- Azure Policy (conformité)
- Azure Advisor
GCP
- Risk Manager (Beta)
- Security Command Center
- Policy Intelligence
- Access Transparency
📋 Cas pratique : analyse de risques sur un bucket S3 public
- Menace : exposition accidentelle de données sensibles
- Vulnérabilité : politique IAM trop permissive ou ACL publique
- Probabilité : moyenne (erreur humaine fréquente)
- Gravité : critique (fuite RGPD, sanctions)
- Traitement : blocage des ACL publiques, audit AWS Config, notification
4️⃣ Analyse de risques IA – LLM, RAG, Agents
Pourquoi analyser les risques IA ?
Les systèmes d’IA générative (LLM, RAG, agents) introduisent des risques inédits : injection de prompt, exfiltration de données, hallucinations, abus du modèle, contournement des garde-fous.
📌 Référentiels disponibles
- OWASP Top 10 for LLM Applications – Grille de menace dédiée aux LLM (injection, fuite, approvisionnement, etc.).
- NIST AI Risk Management Framework (AI RMF) – Gestion des risques IA (gouverner, cartographier, mesurer, gérer).
- ISO 27005 + extension IA (en cours) – Adaptation de la norme aux systèmes IA.
⚠️ Risques spécifiques LLM (OWASP Top 10) :
- Prompt Injection : Contournement des instructions système
- Data Leakage : Fuite de données sensibles dans la réponse
- Model Abuse : Utilisation détournée du modèle (spam, phishing)
- Supply Chain AI : Vulnérabilités dans les modèles ou librairies
- Hallucination : Réponse fausse mais convaincante
📋 Méthode d’analyse de risques IA
- 1. Cartographie des usages : quel LLM, quel RAG, quelles actions agentiques ?
- 2. Identification des menaces : injection, exfiltration, abus.
- 3. Évaluation de la probabilité et gravité (grille EBIOS ou ISO 27005).
- 4. Traitement : guardrails, filtrage, validation humaine, logging.
- 5. Surveillance continue : coût, qualité, détection d’anomalies.
💡 Mon approche : J’accompagne les entreprises sur la sécurisation des architectures IA (RAG, agents) avec une analyse de risques basée sur OWASP LLM et NIST AI RMF. Conformité avec SecNumCloud et RGPD.
📌 En résumé : L’analyse de risques (EBIOS, ISO 27005, cloud, IA) est un prérequis pour toute certification (ISO 27001, SecNumCloud), réglementation (DORA, NIS2, RGPD) ou projet cloud/IA. Je vous accompagne dans la mise en œuvre de ces méthodes sur vos infrastructures.
← Retour au blog
📧 Contact : olivier@obrun.fr | 📞 Tél : 06 50 41 52 53