Qu'est-ce qu'EBIOS RM ?
EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager) est la méthode officielle de l'ANSSI pour l'analyse de risques en cybersécurité. Publiée en 2018, elle remplace l'ancienne méthode EBIOS 2010 et s'adapte particulièrement bien au contexte des collectivités territoriales.
Pourquoi EBIOS RM pour une mairie ?
Une méthode reconnue et officielle
EBIOS RM est la méthode recommandée par l'État français. L'utiliser, c'est s'assurer que votre analyse de risques sera reconnue par l'ANSSI, la CNIL et les juridictions en cas de contrôle.
Adaptée à toutes les tailles
Contrairement à certaines méthodes très lourdes (ISO 27005 pure), EBIOS RM est modulable. Elle peut être déployée sur un périmètre restreint (un service, une application) ou sur l'ensemble du SI.
Compatible NIS2
La directive NIS2 exige une analyse de risques formalisée. EBIOS RM répond parfaitement à cette exigence.
Les 5 ateliers EBIOS RM
La méthode se déroule en 5 ateliers séquentiels :
Atelier 1 — Cadrage et socle de sécurité
Définition du périmètre, identification des valeurs métier (services aux citoyens, état civil, urbanisme, finances) et des biens supports (serveurs, applications, réseaux).
Livrable : cartographie du périmètre et socle de sécurité existant.
Atelier 2 — Sources de risques
Identification des sources de risques pertinentes pour votre collectivité :
- Groupes cybercriminels (ransomware)
- Hacktivistes
- Menace interne (erreur humaine, malveillance)
- Attaquants étatiques (espionnage)
- Prestataires compromis (supply chain)
Livrable : liste des couples sources de risques / objectifs visés.
Atelier 3 — Scénarios stratégiques
Construction des scénarios d'attaque de haut niveau. Par exemple : un groupe ransomware cible le prestataire d'infogérance pour chiffrer les données d'état civil.
Livrable : cartographie de la menace sur l'écosystème.
Atelier 4 — Scénarios opérationnels
Déclinaison technique des scénarios stratégiques en chemins d'attaque concrets. Comment, techniquement, l'attaquant pourrait-il atteindre son objectif ?
Livrable : scénarios opérationnels détaillés avec vraisemblance.
Atelier 5 — Traitement du risque
Pour chaque risque identifié, décision de traitement :
- Réduire : mettre en place des mesures de sécurité
- Transférer : souscrire une cyber-assurance
- Accepter : accepter le risque résiduel (décision de l'élu)
- Éviter : supprimer l'activité ou le service concerné
Livrable : plan de traitement des risques priorisé et budgeté.
Durée et organisation
Pour une mairie ou une intercommunalité de taille moyenne :
| Phase | Durée | Participants |
|---|---|---|
| Préparation | 1 semaine | Consultant + DSI |
| Ateliers 1-2 | 1 semaine | DGS, DSI, métiers |
| Ateliers 3-4 | 1 semaine | DSI, prestataires IT |
| Atelier 5 | 1 semaine | DGS, élus, DSI |
| Restitution | 2-3 jours | Direction + élus |
Durée totale : 4 à 6 semaines, compatible avec le rythme d'une collectivité.
Les livrables
À l'issue d'un audit EBIOS RM complet, vous disposez de :
1. Cartographie des actifs — inventaire complet du SI
2. Analyse des risques — scénarios classés par criticité
3. Plan de traitement — mesures priorisées et budgétées
4. Feuille de route 24 mois — planning de mise en œuvre
5. Restitution executive — synthèse pour les élus et la direction
Erreurs courantes à éviter
- Périmètre trop large : commencer par un périmètre maîtrisable
- Absence des métiers : les ateliers sans les agents de terrain manquent de réalisme
- Analyse théorique : confronter les scénarios à la réalité technique du SI
- Plan sans budget : un plan de traitement non budgeté ne sera jamais mis en œuvre
Un audit EBIOS RM n'est pas un exercice académique. C'est un outil de décision qui permet aux élus de comprendre les risques et de faire des choix éclairés pour protéger leur collectivité.
Les scénarios EBIOS RM ne sont pas théoriques : des collectivités françaises sont attaquées chaque mois. Découvrez les incidents réels documentés.
SOCLE. réalise des audits EBIOS RM adaptés aux collectivités territoriales, de la commune rurale à la métropole. Demander un diagnostic.