Quel est le lien entre EBIOS RM & la norme ISO 27005 ?

Temps de lecture : 8 minutes

La méthode EBIOS Risk Manager (EBIOS RM) a été mise à jour en 2018, et l’ISO 27005 en novembre 2022. Ces mises à jour sont majeures, et recentrent la gestion des risques autour des métiers, de la cybersécurité et de la protection de la vie privée. L’objectif de cet article est de préciser le lien et l’adéquation existant entre ces deux standards.

La norme ISO 27005 décrit les grandes lignes d’une gestion des risques dans un contexte cyber : définition du contexte d’analyse, identification et évaluation des risques encourus, possibilités de traitement ou d’acceptation de ces derniers. Elle introduit un processus d’appréciation des risques conforme à l’ISO 31000, sans pour autant proposer de méthode au sens strict.

Construite en cohérence forte avec le couple de normes ISO 27001/27002 et reprenant le vocabulaire principalement défini dans l’ISO 27000, la norme ISO 27005 utilise comme nombre de systèmes de management la logique d’itération et d’amélioration continue.

La méthode EBIOS est une méthode d’analyse et d’évaluation des risques qui a aujourd’hui plus de 25 ans. Elle a été définie par l’ANSSI, avec le soutien du Club EBIOS. Elle décrit dans le détail la procédure à suivre pour dérouler une analyse des risques (démarche et bonnes pratiques).

La dernière version de la méthode a permis de mettre l’accent sur l’agilité, et de substituer à la recherche d’exhaustivité une volonté de représentativité : l’idée n’est plus d’identifier tous les risques, mais uniquement les plus significatifs dans une approche permettant représenter aussi largement que possible l’espace des risques. Elle se veut aussi plus flexible en fonction de la maturité et de l’objectif fixé.

La question du lien entre l’ISO 27005 et EBIOS RM revient régulièrement, pour les deux raisons suivantes :

• EBIOS RM est en France largement connue et son utilisation est très largement majoritaire comme méthode d’analyse de risques. C’est la méthode nationale, et elle est référencée par l’ENISA. Cependant, elle ne jouit pas de la même aura au-delà de nos frontières. EBIOS RM comme l’ISO 27005 présente une structuration de la notion de risque sécurité.
• EBIOS RM n’est pas une norme, mais une méthode. Elle décrit des techniques pratiques pour permettre à ses utilisateurs d’appliquer le modèle décrit dans l’ISO 27005. Dans les faits, lors d’une démarche de mise en œuvre d’un SMSI implémentant la famille de normes ISO 2700x, se pose immédiatement l’obligation d’identifier si oui ou non la méthode d’analyse de risques sélectionnée est bien compatible avec le cadre normatif choisi. EBIOS RM apporte une solution.