Dans sa dernière mouture, la méthodologie précise intégrer des évolutions issues de retours d’expérience. EBIOS RM vise également dorénavant à faciliter la compréhension des ateliers, à clarifier différentes étapes de l’analyse, ainsi qu’à apporter un certain nombre d’évolutions terminologiques. Par exemple, EBIOS RM fait désormais référence au « plan de traitement du risque », plutôt qu’au « plan d’amélioration continue de la sécurité ».
Toutefois, au-delà de ces nouveautés, il nous semble pouvoir identifier trois autres changements intéressants, que nous décrivons à grands traits ci-dessous.

Justification des résultats
EBIOS RM requiert désormais la justification de certains résultats obtenus au fil de l’analyse de risque, notamment en ce qui concerne l’impact des événements redoutés, les cotes attribuées aux critères d’évaluation des scénarios de risque et des objectifs de sécurité, ainsi que l’estimation de leur dangerosité. L’accent est mis sur la nécessité de pouvoir lire aisément les résultats obtenus, et de pouvoir réutiliser efficacement les analyses de risque effectuées. Cette approche renforce la transparence et la traçabilité des processus d’évaluation des risques, tout en permettant une meilleure prise de décision et une gestion plus efficace des risques informatiques.

Atelier 1 : l’importance du socle de sécurité
EBIOS RM met à présent en avant l’importance du socle de sécurité dans l’atelier 1, lequel vise à identifier l’objet de l’étude, les participants aux ateliers, ainsi que le cadre temporel. Ce socle permet d’évaluer rapidement la maturité du système. Ainsi, une vulnérabilité aux risques les plus courants est le signe d’un manque de maturité, ce qui implique la nécessité d’implémenter un grand nombre de mesures correctives. La méthodologie recommande alors d’interrompre l’analyse de risque à ce stade et de procéder à l’implémentation des mesures nécessaires. De fait, dès son renouvellement en 2018, EBIOS RM affirmait une conception dédiée aux systèmes matures. Les mesures définies doivent directement être enregistrées dans le plan de traitement du risque de l’atelier 5, que nous abordons ci-après. Les limites et non-conformités de ces mesures devront également être stressées lors de l’élaboration des modes opératoires.
Par ailleurs, le socle de sécurité doit désormais inclure les exigences de tiers. Cette nouveauté est le reflet du nombre croissant de nouvelles réglementations européennes en matière de cybersécurité, telles que NIS2 et DORA. Cette dernière exigence est trop importante pour être traitée rapidement : une grande partie du processus d’analyse de risque devra lui être dédiée.

Atelier 5 : suivi de l’implémentation des mesures de sécurité
Le dernier changement significatif qu’il nous semble déceler concerne l’atelier 5, lequel consiste à synthétiser l’ensemble des risques étudiés, ainsi qu’à définir une stratégie de traitement du risque. Dans ce cadre, EBIOS RM souligne dorénavant l’importance du suivi de l’implémentation des mesures de sécurité.
A l’origine composé de trois étapes, cet atelier en compte désormais cinq. La première étape ajoutée résulte du fait que la définition de la stratégie de traitement du risque, d’une part, et la priorisation des mesures de sécurité, d’autre part, sont à présent réparties en deux étapes distinctes, plutôt qu’une seule, comme c’était le cas auparavant. La deuxième étape ajoutée cette année consiste en la mise en place de mécanismes de surveillance. On précisera ainsi à cet égard que le suivi de l’implémentation du plan de traitement du risque s’opérera au moyen d’indicateurs de pilotage définis dans l’atelier 5.

Enfin, la méthodologie insiste sur le fait que le plan de traitement du risque devra être régulièrement mis à jour, instaurant ainsi un processus d’amélioration continu des systèmes.