Guide utilisateur

🔐 Module Cybersécurité

Conduite d'une analyse de risques cyber avec EBIOS Risk Manager (5 ateliers) et sécurité des systèmes industriels avec IEC 62443.

1Vue d'ensemble du module

Le module Cybersécurité couvre deux méthodes complémentaires :

🏛
EBIOS RM
5 ateliers — systèmes d'information
🏭
IEC 62443
Sécurité OT — systèmes industriels
Cadrage IA
Pré-remplissage assisté par IA
📊
Pilotage
Plan de traitement et suivi des mesures
📄
Rapport
Export Word complet EBIOS ou IEC

Flux de travail EBIOS RM

A1 — Contexte A2 — Sources de risque A3 — Scénarios stratégiques A4 — Scénarios opérationnels A5 — Traitement

2Créer un projet cybersécurité

Depuis la page d'accueil, cliquez sur Nouveau projet et choisissez le type adapté à votre contexte :

Type de projetMéthodes inclusesUsage
Cyber SIEBIOS Risk Manager (5 ateliers)Systèmes d'information, ANSSI
Cyber OTEBIOS RM + IEC 62443Systèmes industriels connectés (SCADA, automates)
Multi-modulesCyber + Risques Industriels ou EVRPPérimètre mixte SI/OT/physique
Le type Cyber OT est recommandé pour les installations disposant d'automates, de SCADA ou de tout système de contrôle-commande connecté au réseau.

3Cadrage IA — pré-remplissage assisté

L'assistant IA aide à accélérer la production des ateliers EBIOS RM en générant des propositions à partir du contexte déjà saisi dans le projet (valeurs métier, biens supports, sources de risque, parties prenantes).

Moteurs disponibles

L'assistant est configurable sur la page Configuration IA (/gestion/ia), avec 7 moteurs au choix : Gemini, Claude, Mistral, Groq, OpenRouter (expérimental), Ollama (local, expérimental), Custom (URL/modèle libres, expérimental).

Ce que l'IA peut générer

AtelierGénération proposée
Atelier 3Chemins d'attaque entre une source de risque et une valeur métier, à partir des parties prenantes déjà saisies
Atelier 4Scénarios opérationnels (séquence d'actions techniques) à partir d'un scénario stratégique retenu, avec cotation de vraisemblance
Atelier 5Suggestions de mesures de traitement et de plan d'action à partir des risques identifiés

Ouvrez le panneau IA depuis le bouton disponible sur les pages concernées (Scénarios stratégiques, Scénarios opérationnels, Traitement des risques). Les résultats proposés sont à valider un par un avant intégration dans le tableau.

La clé API est stockée uniquement dans le navigateur (obfuscation locale), jamais synchronisée avec le projet. L'accès à la page de configuration est conditionné à l'activation de l'IA sur votre compte.
Les propositions de l'IA sont un point de départ, jamais une validation finale : la cotation de gravité/vraisemblance et la pertinence méthodologique restent de la responsabilité de l'analyste.

4Atelier 1 — Cadrage et socle de sécurité

L'atelier 1 définit le périmètre de l'étude : ce que vous protégez (missions, valeurs métier, biens supports), ce qui pourrait mal se passer (événements redoutés) et les mesures de sécurité déjà en place (socle de sécurité). C'est la fondation de toute l'analyse EBIOS RM.

Atelier 1 — Contexte EBIOS
Atelier 1 — identification de l'objet de l'étude, périmètre et biens supports
ÉtapePageContenu
1.1Contexte étudeObjectifs de l'étude, contraintes, hypothèses, mode d'utilisation, participants
1.2PérimètreMissions, valeurs métier (biens essentiels) et biens supports
1.3Événements redoutésScénarios de compromission des valeurs métier, impacts et gravité
1.4Référentiel sécuritéRéférentiels et mesures de sécurité déjà appliqués (socle de sécurité)
1.5 / 1.6Vulnérabilités, Zones & ConduitsCompléments optionnels, notamment pour les périmètres OT/industriels

Missions, valeurs métier et biens supports (1.2)

Une mission regroupe une ou plusieurs valeurs métier (processus, information ou actif dont la compromission aurait un impact significatif). Chaque valeur métier est portée par un ou plusieurs biens supports (serveur, VPN, application…) — un bien support peut porter plusieurs valeurs métier.

Événements redoutés (1.3)

Un événement redouté décrit un scénario de compromission d'une valeur métier : catégories d'impacts (financier, réputationnel, légal, opérationnel…) et niveau de gravité (G1 à G4). Une bibliothèque intégrée (📚) propose des événements redoutés préconstruits par valeur métier type.

Une bibliothèque d'événements redoutés (📚) accélère la rédaction tout en gardant un vocabulaire homogène.
Les valeurs métier et biens supports définis ici sont repris dans les scénarios opérationnels (Atelier 4) ; les événements redoutés et leur gravité alimentent le calcul du niveau de risque (Gravité × Vraisemblance).

5Atelier 2 — Sources de risque

L'atelier 2 identifie qui pourrait menacer votre organisation, et ce que ces menaces cherchent à obtenir ou détruire, sous forme de couples Source de Risque / Objectif Visé (SR/OV).

Biens essentiels
Biens essentiels — valeurs métier et niveaux de besoin DIC
Sources de risque
Sources de risque — catégories et couples SR/OV retenus
ÉtapeContenu
2.1 — Couples SR/OVConstitution des couples, à partir de la bibliothèque intégrée (groupes cybercriminels, États, initiés malveillants, erreurs humaines, catastrophes naturelles…) ou en saisie libre
2.2 — Évaluation SR/OVCotation de pertinence de chaque couple pour votre organisation
2.3 — Correspondance SR/OV → ERMise en correspondance des couples retenus avec les événements redoutés de l'Atelier 1
Ne retenez que l'essentiel : les couples SR/OV retenus ici sont ceux qui seront développés en scénarios stratégiques à l'Atelier 3 — mieux vaut un nombre restreint de couples bien qualifiés qu'une liste exhaustive superficielle.

6Atelier 3 — Scénarios stratégiques

L'atelier 3 construit les chemins d'attaque de haut niveau, en s'appuyant sur l'écosystème de l'organisation (fournisseurs, prestataires, partenaires, clients).

Scénarios stratégiques
Atelier 3 — scénarios stratégiques avec niveau de menace et parties prenantes
Diagramme scénarios
Vue diagramme — chemins d'attaque via l'écosystème
ÉtapeContenu
3.1 — Parties prenantesCartographie de l'écosystème : dépendance, pénétration, maturité cyber (1 à 4) — radar de menaces
3.2 — Scénarios stratégiquesChemins d'attaque reliant SR/OV, parties prenantes et valeurs métier — vue tableau ou diagramme
3.3 — Mesures écosystèmeMesures de sécurité applicables aux parties prenantes de l'écosystème

Construire un scénario

  1. Sélectionnez un couple SR/OV retenu en Atelier 2
  2. Identifiez les parties prenantes pouvant servir de vecteur d'attaque, ou un chemin direct
  3. Décrivez le chemin d'attaque stratégique et rattachez-le à un événement redouté (Atelier 1)
Un couple forte dépendance + faible maturité cyber, visible directement sur le radar de menaces (3.1), signale un risque de chaîne d'approvisionnement à traiter en priorité.
Le bouton ✦ Générer les chemins A3 propose des chemins d'attaque construits à partir des parties prenantes déjà saisies. Les scénarios stratégiques restent volontairement macroscopiques — c'est l'Atelier 4 qui les traduira en chaînes d'attaque techniques.

7Atelier 4 — Scénarios opérationnels

L'atelier 4 traduit les scénarios stratégiques en chaînes d'attaque techniques sur les biens supports (séquence d'actions élémentaires, ex. phishing, élévation de privilèges, exfiltration) et calcule le niveau de risque de chaque scénario.

Scénarios opérationnels
Atelier 4 — scénarios opérationnels avec vraisemblance et biens supports
Radar parties prenantes
Radar d'exposition des parties prenantes

Bibliothèques d'actions

BibliothèqueUsage
MITRE ATT&CKRéférentiel détaillé de techniques d'attaque réelles, organisées par tactique
SimpleBibliothèque simplifiée, pour une rédaction plus rapide et moins technique

Méthodes de cotation de la vraisemblance

MéthodePrincipe
⚡ ExpressVraisemblance définie directement sur le scénario, sans détail par action
📊 StandardProbabilité de succès cotée par action ; vraisemblance globale calculée automatiquement
🔬 AvancéeProbabilité de succès et difficulté cotées par action, via une matrice configurable

La page Évaluation de la vraisemblance (4.2) consolide tous les scénarios opérationnels avec leur niveau de risque (Gravité × Vraisemblance), colorié selon l'échelle configurée — c'est la vue de synthèse avant passage à l'Atelier 5.

L'assistant IA (✦ Générer un scénario (A4)) peut générer automatiquement des scénarios opérationnels à partir d'un chemin stratégique sélectionné. Le résultat reste à valider avant intégration.

8Atelier 5 — Traitement du risque

L'atelier 5 planifie les mesures de traitement des risques identifiés en Atelier 4, suit leur mise en œuvre et calcule les risques résiduels.

Traitement du risque
Atelier 5 — options de traitement, mesures de sécurité et risque résiduel
ÉtapeContenu
5.1 — Synthèse des risquesVue consolidée de tous les risques identifiés, positionnés sur la matrice
5.2 — Stratégie de traitementChoix du traitement pour chaque risque : Réduire / Éviter / Transférer / Accepter
5.3 — PACDPlan de traitement détaillé : mesures, responsables, échéances, coûts, avancement
5.4 — Risques résiduelsComparaison risque brut / risque résiduel après mesures (matrices côte à côte)
5.5 — Cadre de suiviSuivi dans le temps de l'état des risques et des mesures

Options de traitement (5.2)

OptionSignification
RéduireMettre en place des mesures pour abaisser la vraisemblance ou l'impact
ÉviterSupprimer l'activité ou le système exposé au risque
TransférerReporter le risque sur un tiers (assurance, sous-traitance)
AccepterDécider en connaissance de cause de ne pas traiter le risque

Plan de traitement (PACD, 5.3)

Pour chaque mesure retenue : catégorie, responsable, échéance, coût/freins/charge, statut, avancement et efficacité. Les mesures issues de l'écosystème (Atelier 3.3) peuvent être importées automatiquement (badges 🔗 / 🔒).

Pilotage EBIOS
Pilotage — tableau de bord du plan de traitement avec avancement par mesure
Un risque traité par acceptation, comme un risque résiduel, doit être formellement validé par le responsable du projet ou de l'organisation — documentez cette décision, elle est attendue dans le rapport final.
Le bouton ✦ Suggérer les traitements (A5) propose, pour chaque risque, un type de traitement et une justification à partir de la synthèse des risques.

9IEC 62443 — Sécurité des systèmes industriels

La norme IEC 62443 structure la sécurité des systèmes OT (automates, SCADA, réseaux industriels) par zones de sécurité et niveaux de sécurité cibles (SL-T). Le guide détaillé du module est disponible dans Guide IEC 62443 : contexte et SUC, ZCR1 à ZCR6, conformité et rapport CRS.

IEC 62443 — Contexte
IEC 62443 — contexte de l'étude et périmètre OT
Diagramme SUC
Diagramme SUC — System Under Consideration avec zones et conduits
Le type de projet Cyber OT permet de mener EBIOS RM et IEC 62443 côte à côte sur un même périmètre, avec des données partagées (équipements/biens supports, fonctions/valeurs métier).

10Générer le rapport

Le Rapport EBIOS RM (/ebios/rapport) assemble le document final en Word et Excel, à partir des données des 5 ateliers.

Rapport EBIOS
Rapport EBIOS — aperçu et options d'export Word
Rapport IEC
Rapport IEC 62443 — synthèse par zone et plan de traitement

Onglets du rapport

OngletContenu
⬇ ExportRapport Word (.docx) structuré par atelier, et export Excel (.xlsx) avec un onglet par atelier, compatible modèles ANSSI
🗂️ ÉditeurSections activables, titre personnalisable, données narratives alimentant les variables {token}
🎨 StylesHabillage visuel du document Word (couleurs, polices)

Générer le rapport Word

  1. Ouvrez la page Rapport depuis le menu de navigation (EBIOS ou IEC 62443)
  2. Personnalisez le contenu dans l'onglet Éditeur — les sections modifiées affichent un badge ✎
  3. Cliquez sur ⬇ Exporter Word (.docx) — le fichier est généré dans votre navigateur
  4. Le rapport est nommé automatiquement avec le titre du projet et la date

Partage et collaboration

Partage EBIOS
Partage de projet — invitation de collaborateurs avec droits éditeur ou lecteur
Le mode Lecteur permet à un auditeur ou à la direction de consulter l'analyse sans pouvoir la modifier. Partagez le projet depuis la page Gestion du projet.
L'export Excel est disponible pour les tableaux de biens supports, scénarios et mesures — utilisez le bouton ⬇ Excel sur chaque page d'analyse.