EBIOS Risk Manager appliqué aux environnements OT industriels.
La méthode ANSSI d'analyse de risque, déclinée sur les contraintes réelles de l'OT : biens supports non patchables, sources de risque visant l'ICS, scénarios opérationnels mappés sur MITRE ATT&CK for ICS. Avec Access Gate, les ateliers 1, 3, 4 et 5 deviennent exécutables au lieu de théoriques.
EBIOS Risk Manager est la méthode d'analyse de risque cyber publiée par l'ANSSI. C'est la méthode de référence pour les OIV / SIIV, reconnue par les auditeurs et les donneurs d'ordre français. Appliquée à l'OT, elle se heurte à trois réalités : les biens supports ne peuvent pas accueillir d'agents, les scénarios opérationnels relèvent de MITRE ATT&CK for ICS, et la collecte de données techniques est souvent le goulot d'étranglement. Access Gate résout ces trois points en automatisant l'inventaire, en remontant les données de trafic et en exécutant directement les mesures de traitement.
Ateliers EBIOS RM
Cadrage, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement. La structure imposée par la méthode ANSSI.
Gain de productivité conseil
Une analyse EBIOS RM en autonomie prend 6 à 12 semaines. Avec Access Gate déjà déployé, les données d'entrée sont disponibles immédiatement — 2-3 semaines par périmètre.
Alignement normatif
EBIOS RM 2024 est compatible avec ISO 27005:2022. Une analyse EBIOS RM peut servir de méthode pour un SMSI ISO 27001 ou pour une étude de conformité NIS2.
Chaque atelier, vu côté production industrielle
Cadrage et socle de sécurité
Définir le périmètre étudié, les valeurs métier, les biens supports, et le socle de sécurité (référentiels applicables : NIS2, LPM, IEC 62443).
Périmètre : ligne de production avec PLC Siemens S7, HMI Windows XP, SCADA, accès distants mainteneurs. Socle : NIS2 article 21 + IEC 62443 SL-2 + guides ANSSI.
Sources de risque
Identifier les sources de risque (cybercriminels, États, hacktivistes, internes) et leurs objectifs visés (sabotage, vol de propriété intellectuelle, déstabilisation).
Acteurs APT visant l'OT (Volt Typhoon, CyberAv3ngers, BlackEnergy). Mainteneurs externes négligents. Initiés mécontents. Objectifs : arrêt de production, manipulation de processus physique.
Scénarios stratégiques
Construire les scénarios de menace haut niveau qui relient sources de risque, valeurs métier impactées et événements redoutés.
Scénario : un APT étatique compromet un compte de maintenance par phishing, atteint le réseau OT via VPN flat, manipule un PLC pour provoquer un arrêt critique de la chaîne de production.
Scénarios opérationnels
Décomposer chaque scénario stratégique en chemins d'attaque opérationnels : techniques d'intrusion, mouvements latéraux, exploitation, persistance.
Chemin : credential stuffing sur VPN → accès LAN IT → scan Modbus → bascule vers automate Siemens → injection de commandes write_multiple_registers → arrêt PLC. Mapping MITRE ATT&CK for ICS T0817, T0855, T0831.
Traitement du risque
Définir et planifier les mesures de sécurité (techniques, organisationnelles, humaines) qui réduisent la vraisemblance ou l'impact des scénarios.
Microsegmentation overlay entre IT et OT (coupe le chemin d'intrusion). MFA appliquée à la couche réseau pour les automates (annule le credential stuffing). Journalisation horodatée des sessions OT (détection + preuve).
De l'analyse théorique au cycle exécutable
| Atelier EBIOS RM | Rôle d'Access Gate | Détail |
|---|---|---|
| Atelier 1 — Cadrage | Inventaire des biens supports | Cartographie passive automatique des actifs OT (PLC, HMI, RTU, serveurs SCADA). Le périmètre étudié est documenté à partir du réseau réel, pas d'un schéma théorique. |
| Atelier 2 — Sources de risque | Threat intel intégrée | Détection des comportements de threat actors connus (APT, ransomware OT) via signatures de trafic. Les sources de risque restent humaines mais les indicateurs techniques sont remontés automatiquement. |
| Atelier 3 — Scénarios stratégiques | Données de vraisemblance | Logs d'accès, tentatives échouées, anomalies de protocole. Donnent la matière chiffrée pour évaluer la vraisemblance des scénarios plutôt que de l'estimer à dire d'expert. |
| Atelier 4 — Scénarios opérationnels | Validation des chemins d'attaque | Chaque chemin d'attaque modélisé peut être confronté à la réalité du réseau : ce flux est-il autorisé ? Cette session a-t-elle été observée ? Les hypothèses du scénario deviennent vérifiables. |
| Atelier 5 — Traitement | Mise en œuvre directe | Microsegmentation, MFA réseau, journalisation, contrôle d'accès — ces mesures sont précisément ce qu'Access Gate applique sans agent et sans interruption de production. Le plan de traitement devient exécutable. |
Atelier 1 — Cadrage
Inventaire des biens supports
Cartographie passive automatique des actifs OT (PLC, HMI, RTU, serveurs SCADA). Le périmètre étudié est documenté à partir du réseau réel, pas d'un schéma théorique.
Atelier 2 — Sources de risque
Threat intel intégrée
Détection des comportements de threat actors connus (APT, ransomware OT) via signatures de trafic. Les sources de risque restent humaines mais les indicateurs techniques sont remontés automatiquement.
Atelier 3 — Scénarios stratégiques
Données de vraisemblance
Logs d'accès, tentatives échouées, anomalies de protocole. Donnent la matière chiffrée pour évaluer la vraisemblance des scénarios plutôt que de l'estimer à dire d'expert.
Atelier 4 — Scénarios opérationnels
Validation des chemins d'attaque
Chaque chemin d'attaque modélisé peut être confronté à la réalité du réseau : ce flux est-il autorisé ? Cette session a-t-elle été observée ? Les hypothèses du scénario deviennent vérifiables.
Atelier 5 — Traitement
Mise en œuvre directe
Microsegmentation, MFA réseau, journalisation, contrôle d'accès — ces mesures sont précisément ce qu'Access Gate applique sans agent et sans interruption de production. Le plan de traitement devient exécutable.
Quatre profils où Access Gate compresse le calendrier EBIOS RM.
OIV / SIIV à homologuer
L'ANSSI exige une analyse de risque conforme à EBIOS RM pour l'homologation des SIIV. Le dossier d'homologation passe par les 5 ateliers, documenté étape par étape.
Obligation ANSSIProchaine étape
Démarrer l'atelier 1 sur le périmètre SIIV. Mobiliser Access Gate pour la cartographie passive du réseau OT.
Entités NIS2 (EE / EI)
NIS2 article 21(2)(a) impose une analyse de risque. EBIOS RM est la méthode de référence en France et reconnue par l'ANSSI. Auditeurs et donneurs d'ordre la connaissent.
Conformité réglementaireProchaine étape
Cartographie du périmètre OT puis ateliers 2-5. Lier les mesures de traitement aux 10 mesures de l'article 21.
Industriels avec OT legacy
Production avec PLC, HMI, CNC anciens. L'analyse de risque doit prendre en compte des biens supports qui ne peuvent pas accueillir d'agents ni de mises à jour fréquentes.
Risque opérationnelProchaine étape
Analyse focalisée sur les biens supports non patchables. Les mesures de traitement doivent être externes (réseau, proxy) plutôt qu'embarquées.
Cabinets de conseil cyber & AMOA
Vous accompagnez vos clients dans la méthode EBIOS RM. Trouver des données techniques fiables pour les ateliers 3 et 4 est souvent le goulot d'étranglement.
Productivité conseilProchaine étape
Access Gate fournit la donnée d'inventaire et de trafic en temps réel. Les ateliers passent de 6 semaines à 2-3 semaines par client.
Les données d'entrée disponibles dès le jour 1.
Inventaire passif. Cartographie des flux. Historique des sessions. Anomalies de protocole. La matière première de tous les ateliers EBIOS RM est sur l'appliance — pas à reconstituer.
2-3 semaines par périmètre
Au lieu de 6 à 12 semaines en autonomie. La collecte de données — qui occupe 60 % du temps d'une analyse EBIOS RM — passe à l'arrière-plan.
Mesures de traitement exécutables
Microsegmentation, MFA réseau, journalisation : Access Gate est le plan de traitement de l'atelier 5. Pas un appel d'offres en plus, une appliance qui agit.
NIS2, LPM, IEC 62443 — l'analyse EBIOS RM est l'entrée commune
Si votre périmètre est soumis à NIS2 ou à la LPM, le résultat de l'analyse EBIOS RM alimente directement le dossier de conformité. Voir conformité NIS2 et LPM pour les industriels pour la déclinaison des mesures de traitement vers l'article 21, et cybersécurité industrielle pour le panorama des 5 risques majeurs OT qui alimentent l'atelier 3.
EBIOS RM et OT
ateliers de la méthode ANSSI
EBIOS Risk Manager (EBIOS RM) est la méthode d'analyse de risque cyber publiée par l'ANSSI en 2018 et mise à jour en 2024. Elle remplace EBIOS 2010. Structurée en 5 ateliers — cadrage, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement du risque — elle est reconnue par les normes ISO 27005 et IEC 62443. En France, c'est la méthode de référence pour l'homologation ANSSI des SIIV et pour les analyses de risque NIS2.
Oui, et avec quelques adaptations clés. Les biens supports OT (PLC, HMI, SCADA) ont des contraintes spécifiques : pas d'agent, pas de mise à jour fréquente, indisponibilité opérationnelle critique. Les sources de risque sont différentes (APT étatiques visant l'OT, ransomware industriel). Les scénarios opérationnels mappent vers MITRE ATT&CK for ICS plutôt qu'ATT&CK enterprise. La méthode reste la même, les données d'entrée et les mesures de traitement diffèrent.
Quatre points d'entrée concrets. Atelier 1 : Access Gate fournit la cartographie passive du périmètre OT, automatisée, à jour. Atelier 3 : les logs et les anomalies remontent les données de vraisemblance des scénarios. Atelier 4 : chaque chemin d'attaque peut être vérifié contre la réalité du réseau. Atelier 5 : les mesures de traitement principales (microsegmentation, MFA réseau, journalisation, contrôle d'accès) sont précisément ce qu'Access Gate applique. L'analyse passe d'un exercice théorique à un cycle exécutable.
Pour un industriel français : NIS2 article 21 (les 10 mesures de gestion des risques), IEC 62443 SL-2 ou SL-3 (zones et conduits), guides ANSSI cybersécurité industrielle, et selon le secteur — LPM pour les OIV, NERC CIP pour les exportateurs énergétiques, IMO MSC.428 pour le maritime. Le socle est cumulatif : on prend l'ensemble des exigences applicables et on les fond dans l'atelier 1.
Non, elle s'aligne avec ISO 27005 mais ne la remplace pas. EBIOS RM est compatible avec ISO 27005:2022 et peut servir de méthode d'analyse pour un SMSI ISO 27001. La différence : EBIOS RM est plus prescriptive sur les ateliers et les livrables, et elle intègre nativement la dimension sources de risque (threat-led) qui manque dans ISO 27005. Pour les entreprises certifiées ISO 27001, EBIOS RM est l'outil opérationnel ; ISO 27005 reste le cadre normatif.
En autonomie, 6 à 12 semaines pour un périmètre OT de taille moyenne (un site industriel, 50 à 500 actifs). Le goulot d'étranglement n'est pas la méthode — c'est la collecte des données : inventaire des actifs, cartographie des flux, historique des accès. Avec Access Gate déjà déployé, ces données sont disponibles dès le jour 1 et l'analyse se compresse à 2-3 semaines. Pour un cabinet de conseil, c'est un ratio de productivité de 3x.