{"id":11577,"date":"2019-01-23T19:12:04","date_gmt":"2019-01-23T18:12:04","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=11577\/"},"modified":"2019-12-31T09:28:34","modified_gmt":"2019-12-31T08:28:34","slug":"ebios-2010-est-mort-vive-ebios-rm","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/","title":{"rendered":"EBIOS (2010) est mort, vive EBIOS (RM) ?"},"content":{"rendered":"<p>R\u00e9sultat d\u2019un travail d\u2019envergure port\u00e9 durant deux ans par l\u2019ANSSI et le Club EBIOS, <strong>EBIOS Risk Manager<\/strong> (EBIOS RM) est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS.<\/p>\n<p>Bien que les principes fondamentaux d\u2019identification des enjeux, des risques et des actions de rem\u00e9diation demeurent, la m\u00e9thode s\u2019illustre par\u00a0son appel \u00e0 des <strong>sc\u00e9narios d\u2019attaque complexes<\/strong> <strong>tirant partie de vuln\u00e9rabilit\u00e9s multiples,<\/strong> \u00e0 la mani\u00e8re d\u2019attaques r\u00e9elles comme celle contre les syst\u00e8mes de connexion \u00e0 SWIFT de la Banque Centrale du Bangladesh en 2016 ou contre Sony Pictures en 2014&#8230; Autre \u00e9volution majeure, l\u2019apparition d\u2019une <strong>analyse approfondie des attaquants potentiels, de l\u2019\u00e9cosyst\u00e8me et des parties prenantes<\/strong> du p\u00e9rim\u00e8tre \u00e9tudi\u00e9.<\/p>\n<p>Ce changement de posture permet \u00e0 EBIOS RM de r\u00e9pondre sp\u00e9cifiquement aux probl\u00e9matiques pos\u00e9es par des<strong> attaquants toujours plus professionnalis\u00e9s <\/strong>qui \u00e9tudieront m\u00e9thodiquement les vuln\u00e9rabilit\u00e9s d\u2019une cible ainsi que l\u2019ensemble de son \u00e9cosyst\u00e8me pour parvenir \u00e0 leurs fins. Elle vient ainsi remplir\u00a0une zone de vide dans l&#8217;espace des m\u00e9thodologies d\u2019analyse de risques.<\/p>\n<p>N\u00e9anmoins, malgr\u00e9 cette approche r\u00e9ellement innovante et comme nous allons l\u2019\u00e9tayer ci-dessous, EBIOS RM ne doit<strong> pas forc\u00e9ment \u00eatre consid\u00e9r\u00e9e comme la nouvelle d\u00e9marche globale<\/strong> d\u2019analyse des risques mais plut\u00f4t comme une <strong>nouvelle corde \u00e0 l\u2019arc<\/strong> m\u00e9thodologique du RSSI pour traiter les sc\u00e9narios d\u2019attaque les plus complexes.<\/p>\n<p>S\u2019appuyant sur nos premiers retours d\u2019exp\u00e9rience de l\u2019application concr\u00e8te de cette m\u00e9thode, nous pr\u00e9senterons en d\u00e9tail les \u00e9volutions qu\u2019elle apporte ainsi que leurs implications sur la gouvernance plus g\u00e9n\u00e9rale des risques SSI.<\/p>\n<h1>EBIOS RM, une nouvelle m\u00e9thodologie pour mieux appr\u00e9hender les risques complexes de cybers\u00e9curit\u00e9<code><\/code><\/h1>\n<p>Depuis bient\u00f4t 10 ans, EBIOS 2010 propose une m\u00e9thode centr\u00e9e sur la notion de <strong>menaces unitaires<\/strong> tirant partie de <strong>vuln\u00e9rabilit\u00e9s<\/strong> et de pr\u00e9vention de leurs <strong>impacts sur des processus m\u00e9tiers<\/strong>. Cette m\u00e9thode, qui remettait \u00e0 l\u2019\u00e9poque le m\u00e9tier au centre de l\u2019analyse de risques, n\u2019est cependant <strong>pas con\u00e7ue pour <\/strong>identifier et traiter<strong> des menaces complexes. <\/strong>Ces menaces, compos\u00e9es de rebonds de l\u2019attaquant d\u2019une vuln\u00e9rabilit\u00e9 \u00e0 une autre pour atteindre ses fins, constituent pourtant aujourd\u2019hui une part majeure de l\u2019univers des risques SSI et ont \u00e9t\u00e9 mises <strong>\u00e0 l\u2019ordre du jour de nombreux comit\u00e9s ex\u00e9cutifs<\/strong> \u00e0 la suite des derni\u00e8res attaques majeures comme NotPetya ou WannaCry.<\/p>\n<p>EBIOS RM vise \u00e0 compl\u00e9ter ce manque par une approche int\u00e9grant dans un premier temps de l\u2019\u00e9tude pouss\u00e9e<strong> des intentions des attaquants<\/strong> potentiels, puis la prise en compte formelle de <strong>l\u2019\u00e9cosyst\u00e8me<\/strong> et enfin l\u2019identification de <strong>sc\u00e9narios d\u2019attaque complexes de type <em>kill chain<\/em><\/strong>. L\u2019objectif final de cette \u00e9tude n\u2019est plus l\u2019alignement des mesures de s\u00e9curit\u00e9 \u00e0 des failles unitaires comme pour EBIOS 2010 mais bien la capacit\u00e9 \u00e0 ma\u00eetriser des risques aux facettes multiples.<\/p>\n<h1 style=\"text-align: left;\">En pr\u00e9alable, mener un travail pr\u00e9paratoire concernant les vuln\u00e9rabilit\u00e9s<\/h1>\n<p>EBIOS RM propose dans un premier temps la mise place d\u2019une \u00e9tude structur\u00e9e du niveau de s\u00e9curit\u00e9 du p\u00e9rim\u00e8tre analys\u00e9 par une revue de conformit\u00e9. Cette v\u00e9rification permet d\u2019identifier un premier panel de vuln\u00e9rabilit\u00e9s, <strong>comme le ferait un attaquant<\/strong> en testant par exemple la version des infrastructures ou les vuln\u00e9rabilit\u00e9s de l\u2019OWASP.<\/p>\n<p>Contrairement \u00e0 ce qui est propos\u00e9 dans la m\u00e9thode EBIOS 2010, la principale finalit\u00e9 de cette approche n\u2019est pas de rem\u00e9dier \u00e0 des vuln\u00e9rabilit\u00e9s unitaires mais bien d\u2019alimenter la d\u00e9finition des sc\u00e9narios d\u2019attaque complexes en identifiant les potentiels <strong>points de rebond<\/strong> de l\u2019attaquant.<\/p>\n<h1>Ensuite, mieux prendre en compte l\u2019\u00e9cosyst\u00e8me et les sources d\u2019attaque<\/h1>\n<p>Par ailleurs, afin d\u2019adapter l\u2019analyse des risques \u00e0 la r\u00e9alit\u00e9 des SI contemporains et de l\u2019univers de menace, EBIOS RM int\u00e8gre une innovation majeure sous la forme de la <strong>revue syst\u00e9matique de l\u2019\u00e9cosyst\u00e8me<\/strong> du p\u00e9rim\u00e8tre \u00e9tudi\u00e9, depuis les <strong>tiers de confiance<\/strong> connect\u00e9s \u00e0 celui-ci jusqu\u2019aux <strong>tiers pr\u00e9sum\u00e9s hostiles<\/strong> tels que des concurrents, des \u00e9tats voire des activistes.<\/p>\n<p>L\u2019\u00e9tude des tiers de confiance met en lumi\u00e8re leurs interactions avec le p\u00e9rim\u00e8tre \u00e9tudi\u00e9, <strong>trop souvent acquises comme s\u00fbres<\/strong>, qui constituent un vecteur d\u2019attaque id\u00e9al pour un attaquant contournant ainsi les d\u00e9fenses p\u00e9rim\u00e9triques voire les mesures de gestion des acc\u00e8s internes.<\/p>\n<p>L\u2019\u00e9tude des tiers hostiles place quant \u00e0 elle la notion <strong>d\u2019intentionnalit\u00e9 de la malveillance <\/strong>au c\u0153ur de l\u2019\u00e9tude. EBIOS RM propose donc de les identifier pr\u00e9cis\u00e9ment et d\u2019analyser les objectifs possiblement vis\u00e9s. Ce changement d\u2019angle de vue sert de base au d\u00e9veloppement de sc\u00e9narios d\u2019attaque complexes dans la suite de la d\u00e9marche.<\/p>\n<p>Cette nouvelle approche vise notamment \u00e0 faire face aux attaques par <em>water-holing<\/em> ou encore des cons\u00e9quences de la compromission d\u2019un SI tiers comme les fuites de donn\u00e9es de l\u2019enseigne am\u00e9ricaine Target en 2013.<\/p>\n<h1>Enfin, un travail it\u00e9ratif de construction des sc\u00e9narios d\u2019attaque<\/h1>\n<p>Sur la base de cette connaissance approfondie du contexte, la d\u00e9marche EBIOS RM vise \u00e0 r\u00e9aliser une <strong>\u00e9tude pr\u00e9liminaire et plus fonctionnelle<\/strong> des \u00e9v\u00e8nements pouvant survenir sous la forme de sc\u00e9narios strat\u00e9giques, puis un <strong>zoom plus technique<\/strong> sous la forme de sc\u00e9narios op\u00e9rationnels d\u00e9taill\u00e9s. L\u2019objectif est que ces deux visions s\u2019alimentent tout au long de l\u2019\u00e9tude dans une <strong>r\u00e9flexion it\u00e9rative<\/strong>.<\/p>\n<p>EBIOS RM demande tout d\u2019abord de d\u00e9finir de 3 \u00e0 5 sc\u00e9narios strat\u00e9giques combinant source d\u2019attaque, objectif vis\u00e9 et principaux moyens utilis\u00e9s pour atteindre cet objectif. Cette <strong>vision de haut niveau et aux aspects techniques tr\u00e8s limit\u00e9s<\/strong>, atout clef pour pr\u00e9senter les risques cyber <strong>aux m\u00e9tiers voire aux instances dirigeantes <\/strong>d\u2019une organisation, permet \u00e9galement de pr\u00e9ciser le p\u00e9rim\u00e8tre de la r\u00e9flexion plus technique qui sera r\u00e9alis\u00e9e au travers de 10 \u00e0 15 sc\u00e9narios op\u00e9rationnels.<\/p>\n<p>Ces <strong>sc\u00e9narios op\u00e9rationnels<\/strong> racontent un fil d\u00e9taill\u00e9 d\u2019\u00e9v\u00e8nements qui, combin\u00e9s, m\u00e8nent \u00e0 un impact majeur. EBIOS RM structure ce cheminement au travers de quatre phases. Tout d\u2019abord, la <strong>prise de connaissance<\/strong> par l\u2019attaquant du SI cibl\u00e9, de son fonctionnement et de ses acteurs. Ensuite, la phase <strong>d\u2019entr\u00e9e <\/strong>dans ce SI au travers d\u2019actions comme le phishing ou l\u2019exploitation d\u2019une <em>backdoor<\/em>. Puis vient la phase de <strong>recherche<\/strong> des donn\u00e9es ou du SI critique que l\u2019attaquant souhaite compromettre. Enfin, c\u2019est la phase <strong>d\u2019exploitation<\/strong> de cette cible via par exemple l\u2019exfiltration de donn\u00e9es ou l\u2019implantation d\u2019une bombe logique.<\/p>\n<p>Chaque sc\u00e9nario d\u2019attaque op\u00e9rationnel aura donc <strong>sa propre histoire \u00e0 raconter, sa propre <em>kill chain<\/em><\/strong><em>,<\/em> dont la vraisemblance sera d\u00e9termin\u00e9e. Cette sp\u00e9cificit\u00e9 est une des forces de l\u2019\u00e9tude, facilitant sa restitution, mais lui permettant \u00e9galement <strong>d\u2019alimenter la r\u00e9flexion d\u2019un SOC<\/strong> concernant la d\u00e9finition de sc\u00e9narios de corr\u00e9lation \u00e0 impl\u00e9menter dans un SIEM.<\/p>\n<p>Cette hauteur d\u2019analyse en fait d\u2019ailleurs un outil de choix pour l\u2019\u00e9tude des risques des p\u00e9rim\u00e8tres les plus critiques d\u2019une entreprise, comme par exemple les SI d\u2019importance vitale.<\/p>\n<h1>Un outil ambitieux dont il faut cadrer l\u2019utilisation<\/h1>\n<p>EBIOS RM pr\u00e9sente des atouts s\u00e9duisants par la prise en compte des motivations et m\u00e9thodes des attaquants, de l\u2019\u00e9tude approfondie des tiers de confiance comme potentiels vecteurs d\u2019attaque ou encore par sa capacit\u00e9 \u00e0 produire des sc\u00e9narios d\u2019attaques complexes mais capables de convaincre des publics non-initi\u00e9s.<\/p>\n<p>L\u2019une des principales qualit\u00e9s d\u2019EBIOS RM, imposer r\u00e9flexion et cr\u00e9ativit\u00e9 pour d\u00e9finir les sc\u00e9narios strat\u00e9giques et op\u00e9rationnels pertinents, a n\u00e9anmoins un revers notable : EBIOS RM ne pourra ainsi pas, exception faite de l\u2019\u00e9tude du socle et des acteurs mena\u00e7ants, <strong>faire l\u2019objet d\u2019une industrialisation pouss\u00e9e<\/strong> des outils associ\u00e9s <strong>sans craindre<\/strong> une perte de cr\u00e9ativit\u00e9 et donc <strong>une perte de qualit\u00e9<\/strong> dans ses r\u00e9sultats. Cette logique s\u2019\u00e9carte donc de celle en vigueur pour EBIOS 2010 qui rendait par exemple possible une revue exhaustive des menaces, permise par la complexit\u00e9 tr\u00e8s souvent limit\u00e9e de celles-ci.<\/p>\n<p>En l\u2019absence de cadre largement outill\u00e9 et afin d\u2019\u00e9viter que la subjectivit\u00e9 des participants n\u2019y fasse son lit, EBIOS RM va ainsi exiger <strong>de son pilote un \u00e9ventail de comp\u00e9tences qui reste rare<\/strong> sur le march\u00e9\u00a0: des <strong>connaissances techniques pointues et orient\u00e9es test d\u2019intrusion <\/strong>pour d\u00e9terminer ce que serait capable de r\u00e9aliser un attaquant selon son niveau d\u2019expertise, de la <strong>cr\u00e9ativit\u00e9,<\/strong> une <strong>capacit\u00e9 au <em>story telling<\/em>, \u00e0 la synth\u00e8se et \u00e0 la p\u00e9dagogie<\/strong>, afin de d\u00e9finir des sc\u00e9narios d\u2019attaques qui auront \u00e0 la fois <strong>suffisamment d\u2019impact et de pertinence<\/strong> pour convaincre \u00e0 la fois les \u00e9quipes m\u00e9tiers et techniques tout en illustrant avec justesse et moins de quinze sc\u00e9narios op\u00e9rationnels <strong>toutes les facettes<\/strong> remarquables de la situation \u00e9tudi\u00e9e.<\/p>\n<p>Ces diff\u00e9rentes qualit\u00e9s renforceront par ailleurs la <strong>l\u00e9gitimit\u00e9<\/strong> du pilote de l\u2019\u00e9tude, indispensable <strong>pour animer et recadrer efficacement<\/strong> les diff\u00e9rents groupes de travail demand\u00e9s par la m\u00e9thodologie, afin d\u2019\u00e9viter les discussions sans fin qu\u2019elle peut risquer d\u2019entra\u00eener par ses aspects subjectifs. Il faut en outre garder \u00e0 l\u2019esprit que par son aspect <strong>it\u00e9ratif<\/strong> et les nombreux groupes de travail qu\u2019elle implique, EBIOS RM sera une d\u00e9marche <strong>significativement plus co\u00fbteuse en temps<\/strong> qu\u2019EBIOS 2010. De plus, ses r\u00e9sultats seront <strong>difficilement r\u00e9utilisables d\u2019une \u00e9tude \u00e0 l\u2019autre<\/strong>, en cela qu\u2019elle se concentre justement sur les sp\u00e9cificit\u00e9s des p\u00e9rim\u00e8tres \u00e9tudi\u00e9s.<\/p>\n<h1>Les sources accidentelles \u00e9cart\u00e9es<\/h1>\n<p>Dernier point d\u2019attention, EBIOS RM, en pla\u00e7ant l\u2019intentionnalit\u00e9 au c\u0153ur de sa d\u00e9marche, <strong>\u00e9carte les sources accidentelles<\/strong>. Pourtant, celles-ci se produisent r\u00e9guli\u00e8rement, qu\u2019il s\u2019agisse d\u2019un coup de pelleteuse, d\u2019une corruption d\u2019une base de donn\u00e9es ou de l\u2019erreur d\u2019un administrateur. Par ailleurs, le c\u0153ur de la d\u00e9marche EBIOS RM, en g\u00e9n\u00e9rant un nombre limit\u00e9 de sc\u00e9narios op\u00e9rationnels, <strong>ne vise pas \u00e0 l\u2019exhaustivit\u00e9<\/strong> qui \u00e9tait une des forces d\u2019EBIOS 2010. La r\u00e9ponse de la d\u00e9marche \u00e0 ce biais m\u00e9thodologique est l\u2019\u00e9tape d\u2019\u00e9tude du socle, mais celle-ci <strong>n\u2019est qu\u2019une revue de conformit\u00e9<\/strong>. Si on imagine appliquer la d\u00e9marche \u00e0 un p\u00e9rim\u00e8tre existant pr\u00e9sentant de nombreux axes d\u2019am\u00e9liorations et qu\u2019on utilise un r\u00e9f\u00e9rentiel de conformit\u00e9 suffisamment exhaustif (les 42 r\u00e8gles de l\u2019ANSSI ou ISO27002), on pourra se retrouver avec une liste \u00e0 la Pr\u00e9vert des mesures correctives \u00e0 mettre en \u0153uvre, <strong>sans moyen rigoureux de les prioriser<\/strong>, sauf \u00e0 faire appel \u00e0 EBIOS 2010 qu\u2019EBIOS RM visait \u00e0 remplacer\u2026<\/p>\n<h1>Vers une refonte de la gouvernance de la gestion des risques<\/h1>\n<p>EBIOS RM est donc une d\u00e9marche qui n\u00e9cessite un temps de mise en \u0153uvre certain ainsi que des expertises \u00e0 la disponibilit\u00e9 souvent d\u00e9j\u00e0 limit\u00e9e, et dont les r\u00e9sultats seront difficiles \u00e0 r\u00e9utiliser. En tenant \u00e9galement compte de ses priorit\u00e9s m\u00e9thodologiques, nous pensons pr\u00e9f\u00e9rable de <strong>concentrer<\/strong> l\u2019application de cette d\u00e9marche aux syst\u00e8mes pr\u00e9sentant <strong>des enjeux forts<\/strong> et dont le niveau de s\u00e9curit\u00e9 a d\u00e9j\u00e0 <strong>un certain niveau de maturit\u00e9<\/strong>, par exemple parce qu\u2019ils seront pass\u00e9s par l\u2019\u00e9tape EBIOS 2010. Il nous semble \u00e9galement pr\u00e9f\u00e9rable d\u2019utiliser EBIOS RM <strong>pour des ensembles coh\u00e9rents de SI <\/strong>(exemple\u00a0: une voiture ou les activit\u00e9s marketing) afin de conserver un p\u00e9rim\u00e8tre d\u2019\u00e9tude suffisamment important pour permettre des attaques avanc\u00e9es. Enfin, sur des <strong>ensembles coh\u00e9rents de SI appartenant \u00e0 des acteurs diff\u00e9rents<\/strong>, il est possible d\u2019appliquer la m\u00e9thode jusqu\u2019aux sc\u00e9narios strat\u00e9giques afin de fixer des priorit\u00e9s d\u2019\u00e9tude pour les analyse de risques plus d\u00e9taill\u00e9es qui seront mises en \u0153uvre par chaque entit\u00e9 sur ses p\u00e9rim\u00e8tres propres. EBIOS RM sera dans ces cas d\u2019autant plus pertinente qu\u2019elle se concentrera uniquement sur des sc\u00e9narios <strong>au plus proche des pratiques m\u00e9tiers<\/strong>.<\/p>\n<h1>EBIOS RM, une brique dans l\u2019offre de services d\u2019analyse de risque<\/h1>\n<p>L\u2019arriv\u00e9e d\u2019EBIOS RM, d\u00e9marche novatrice quoique \u00e0 utiliser avec mesure, et qui finalement <strong>compl\u00e8te plus qu\u2019elle ne remplace<\/strong> EBIOS 2010, participe donc \u00e0 cr\u00e9er ce qu\u2019on pourrait appeler une <strong>offre de service EBIOS<\/strong>. L<strong>es ressources et les comp\u00e9tences nombreuses qu\u2019elle n\u00e9cessite<\/strong> pour \u00eatre mise en \u0153uvre la r\u00e9serveront ainsi \u00e0 des p\u00e9rim\u00e8tres sp\u00e9cifiques,<strong> fortement expos\u00e9s ou porteurs d\u2019enjeux majeurs<\/strong> comme par exemples les SI d\u2019importance vitale, <strong>ayant d\u00e9j\u00e0 fait l\u2019objet d\u2019un socle de mesures d\u2019hygi\u00e8ne SSI<\/strong>.<\/p>\n<p>Tout ceci plaide en faveur de la mise en \u0153uvre<strong>, en amont des projets, d\u2019une d\u00e9marche de gouvernance des risques, transverse \u00e0 l\u2019entit\u00e9,<\/strong> qui permettra de d\u00e9terminer rapidement les <strong>enjeux, l\u2019exposition et la maturit\u00e9 s\u00e9curit\u00e9<\/strong> de ses p\u00e9rim\u00e8tres fonctionnels et applicatifs, puis de d\u00e9cider en fonction quelle m\u00e9thodologie de s\u00e9curisation mettre en place\u00a0: simple revue de conformit\u00e9 \u00e0 un socle minimal de r\u00e8gles de s\u00e9curit\u00e9, \u00e9tude EBIOS 2010 plus ou moins approfondie ou enfin, sur les p\u00e9rim\u00e8tres \u00e0 la fois sensibles et matures, \u00e9tude EBIOS RM.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>R\u00e9sultat d\u2019un travail d\u2019envergure port\u00e9 durant deux ans par l\u2019ANSSI et le Club EBIOS, EBIOS Risk Manager (EBIOS RM) est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS. Bien que les principes fondamentaux d\u2019identification des enjeux, des risques&#8230;<\/p>\n","protected":false},"author":1334,"featured_media":10812,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3222,36],"tags":[1197,1166,3089,3090,3306,70,310],"coauthors":[3082,2889],"class_list":["post-11577","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyberrisk-management-strategy","category-cybersecurity-digital-trust","tag-analyse-de-risques","tag-anssi","tag-ebios","tag-ebios-rm","tag-ebios-rm-homologation","tag-gestion-des-risques","tag-risque"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>EBIOS (2010) est mort, vive EBIOS (RM) ? - RiskInsight<\/title>\n<meta name=\"description\" content=\"R\u00e9sultat d\u2019un travail d\u2019envergure port\u00e9 par l\u2019ANSSI et le Club EBIOS, EBIOS RM est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"EBIOS (2010) est mort, vive EBIOS (RM) ? - RiskInsight\" \/>\n<meta property=\"og:description\" content=\"R\u00e9sultat d\u2019un travail d\u2019envergure port\u00e9 par l\u2019ANSSI et le Club EBIOS, EBIOS RM est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/\" \/>\n<meta property=\"og:site_name\" content=\"RiskInsight\" \/>\n<meta property=\"article:published_time\" content=\"2019-01-23T18:12:04+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2019-12-31T08:28:34+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"4124\" \/>\n\t<meta property=\"og:image:height\" content=\"2902\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Yvain TAVERNIER, Swann Lassiva\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Yvain TAVERNIER, Swann Lassiva\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"12 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/\"},\"author\":{\"name\":\"Yvain TAVERNIER\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/7a42e829bb8d1b98b9d1848781316bd2\"},\"headline\":\"EBIOS (2010) est mort, vive EBIOS (RM) ?\",\"datePublished\":\"2019-01-23T18:12:04+00:00\",\"dateModified\":\"2019-12-31T08:28:34+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/\"},\"wordCount\":2330,\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg\",\"keywords\":[\"analyse de risques\",\"ANSSI\",\"EBIOS\",\"EBIOS RM\",\"EBIOS RM\/homologation\",\"Gestion des risques\",\"Risque\"],\"articleSection\":[\"Cyberrisk Management &amp; Strategy\",\"Cybersecurity &amp; Digital Trust\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/\",\"name\":\"EBIOS (2010) est mort, vive EBIOS (RM) ? - RiskInsight\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg\",\"datePublished\":\"2019-01-23T18:12:04+00:00\",\"dateModified\":\"2019-12-31T08:28:34+00:00\",\"description\":\"R\u00e9sultat d\u2019un travail d\u2019envergure port\u00e9 par l\u2019ANSSI et le Club EBIOS, EBIOS RM est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#primaryimage\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg\",\"width\":4124,\"height\":2902,\"caption\":\"Print\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"EBIOS (2010) est mort, vive EBIOS (RM) ?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"name\":\"RiskInsight\",\"description\":\"The cybersecurity &amp; digital trust blog by Wavestone&#039;s consultants\",\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\",\"name\":\"Wavestone\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"width\":50,\"height\":50,\"caption\":\"Wavestone\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/7a42e829bb8d1b98b9d1848781316bd2\",\"name\":\"Yvain TAVERNIER\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/author\/yvain-tavernier\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"EBIOS (2010) est mort, vive EBIOS (RM) ? - RiskInsight","description":"R\u00e9sultat d\u2019un travail d\u2019envergure port\u00e9 par l\u2019ANSSI et le Club EBIOS, EBIOS RM est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/","og_locale":"en_US","og_type":"article","og_title":"EBIOS (2010) est mort, vive EBIOS (RM) ? - RiskInsight","og_description":"R\u00e9sultat d\u2019un travail d\u2019envergure port\u00e9 par l\u2019ANSSI et le Club EBIOS, EBIOS RM est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS.","og_url":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/","og_site_name":"RiskInsight","article_published_time":"2019-01-23T18:12:04+00:00","article_modified_time":"2019-12-31T08:28:34+00:00","og_image":[{"width":4124,"height":2902,"url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg","type":"image\/jpeg"}],"author":"Yvain TAVERNIER, Swann Lassiva","twitter_misc":{"Written by":"Yvain TAVERNIER, Swann Lassiva","Est. reading time":"12 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#article","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/"},"author":{"name":"Yvain TAVERNIER","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/7a42e829bb8d1b98b9d1848781316bd2"},"headline":"EBIOS (2010) est mort, vive EBIOS (RM) ?","datePublished":"2019-01-23T18:12:04+00:00","dateModified":"2019-12-31T08:28:34+00:00","mainEntityOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/"},"wordCount":2330,"publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg","keywords":["analyse de risques","ANSSI","EBIOS","EBIOS RM","EBIOS RM\/homologation","Gestion des risques","Risque"],"articleSection":["Cyberrisk Management &amp; Strategy","Cybersecurity &amp; Digital Trust"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/","url":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/","name":"EBIOS (2010) est mort, vive EBIOS (RM) ? - RiskInsight","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#primaryimage"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg","datePublished":"2019-01-23T18:12:04+00:00","dateModified":"2019-12-31T08:28:34+00:00","description":"R\u00e9sultat d\u2019un travail d\u2019envergure port\u00e9 par l\u2019ANSSI et le Club EBIOS, EBIOS RM est la nouvelle d\u00e9clinaison de la m\u00e9thodologie d\u2019analyse de risque EBIOS.","breadcrumb":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#primaryimage","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2018\/05\/Fotolia_69519539_Subscription_Monthly_XXL-CUT-Flat-style-vector-illustration-brainstorming-process-concept-Sentavio.jpg","width":4124,"height":2902,"caption":"Print"},{"@type":"BreadcrumbList","@id":"https:\/\/www.riskinsight-wavestone.com\/2019\/01\/ebios-2010-est-mort-vive-ebios-rm\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.riskinsight-wavestone.com\/en\/"},{"@type":"ListItem","position":2,"name":"EBIOS (2010) est mort, vive EBIOS (RM) ?"}]},{"@type":"WebSite","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","name":"RiskInsight","description":"The cybersecurity &amp; digital trust blog by Wavestone&#039;s consultants","publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization","name":"Wavestone","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","width":50,"height":50,"caption":"Wavestone"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/7a42e829bb8d1b98b9d1848781316bd2","name":"Yvain TAVERNIER","url":"https:\/\/www.riskinsight-wavestone.com\/en\/author\/yvain-tavernier\/"}]}},"_links":{"self":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/11577","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/users\/1334"}],"replies":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/comments?post=11577"}],"version-history":[{"count":10,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/11577\/revisions"}],"predecessor-version":[{"id":11593,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/11577\/revisions\/11593"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media\/10812"}],"wp:attachment":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media?parent=11577"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/categories?post=11577"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/tags?post=11577"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/coauthors?post=11577"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}