Risk Manager - Méthode EBIOS

Consultants, responsables sécurité des SI, gestionnaires des risques, toute personne impliquée dans des activités d’appréciation des risques informatiques…

Objectifs formation :

• A l’issue de la formation, le stagiaire sera capable de s'appuyer sur la méthode Ebios pour identifier et traiter les risques relatifs à la sécurité de l’information

Objectifs pédagogiques finaux

• Comprendre les concepts et les principes relatifs à la gestion des risques de la méthode EBIOS
• Maîtriser les étapes de la méthode EBIOS pour la réalisation complète d'une étude
• Gérer les risques de sécurité de l'information en utilisant la méthode EBIOS
• Analyser et communiquer les résultats d’une étude EBIOS
  

 Jour 1 : Cadrage, événements redoutés et scénarios de menace

Démarrage de la formation

• Présentation des enjeux, tour de table des participants, identification des attentes, présentation du déroulé pédagogique et des modalités d’évaluation.

Module 1 – Introduction à la méthode EBIOS RM :

• Origines, principes et finalités
• Positionnement dans la gestion des risques SSI
• Cadres de référence (ISO 27005, ANSSI)

Activité : Quiz introductif & échange sur les pratiques de gestion des risques

Module 2 – Étape 1 : Cadrage et socle de sécurité :

• Définition du périmètre, acteurs, enjeux métiers
• Identification des biens essentiels et cartographie des mesures de sécurité

Atelier pratique : Cadrage et identification des actifs d'une organisation fictive

Module 3 – Étape 2 : Événements redoutés :

• Identification des impacts métiers
• Construction des événements redoutés à partir des actifs

Exercice de groupe : Création de 3 événements redoutés

Module 4 – Étape 3 : Scénarios de menace (stratégiques) :

• Identification des acteurs de menace, points d’entrée, objectifs
• Cartographie des scénarios et contre-mesures existantes

Atelier : Jeu de rôle attaquant / défenseur sur scénario réaliste

Jour 2 : Scénarios opérationnels, traitement et restitution

Module 5 – Étape 4 : Scénarios opérationnels :

• Déroulement d’attaques concrètes, identification de vulnérabilités
• Évaluation de la vraisemblance, gravité, niveau de risque résiduel

TP : Construction et analyse de 2 scénarios opérationnels

Module 6 – Étape 5 : Traitement du risque & communication :

• Définition des traitements (mesures préventives, compensatoires)
• Synthèse des résultats et communication vers la direction

Atelier : Fiche de synthèse EBIOS + préparation d'une restitution orale

Module 7 – Révisions générales :

• Récapitulatif des 5 étapes à partir d’une étude complète
• Simulation de restitution au management

Évaluation : Quiz général

• Clôture de la formation

Connaître le guide sécurité de l’ANSSI,

• Avoir suivi le parcours introductif à la cybersécurité ou posséder des connaissances équivalentes sur la sécurité des systèmes d’information.

Pré-requis recommandés :

• GKCYBER - Parcours introductif à la Cybersécurité

Répartition Théorie / Pratique

Théorie : 40 %

• Concepts fondamentaux de la gestion des risques
• Présentation des étapes EBIOS
• Terminologie, réglementation, cadre ISO

Pratique : 60 %

• Ateliers collaboratifs (analyse d’impacts, modélisation d’acteurs de menace, élaboration de scénarios)
• Étude de cas complète fil rouge
• Quiz d’évaluation

Démarche pédagogique

La formation repose sur :

Une alternance équilibrée entre apports théoriques et ateliers concrets pour favoriser l’appropriation immédiate des concepts.
Des cas pratiques issus du terrain simulant des contextes métier variés (entreprises, collectivités, SI critiques).
Un apprentissage collaboratif et guidé, avec l’utilisation de modèles EBIOS dans des feuilles de travail, des canevas d’analyse de menaces, et une restitution collective des résultats.
Un quiz en fin de parcours pour évaluer la bonne compréhension de la méthode.

Ressources et outils mis à disposition

Guide officiel EBIOS RM v2
Modèles de livrables (matrices, tableaux, synthèses, SoA, etc.)
Fiches mémo des 5 étapes EBIOS
QCM + mini étude de cas corrigée en groupe

Méthodes pédagogiques

Animation participative via des outils collaboratifs, partages d’écran, analyses d’études de cas, exercices collaboratifs et activités de groupe simulant des contextes réels.

Accès à un espace de partage sécurisé contenant :

• Les QCM d’entraînement
• Les fichiers d’exercices et corrigés
• Les modèles de documents utilisés dans les travaux pratiques

Matériel fourni :

• Support de cours au format électronique
• Documentation synthétique utilisable en contexte professionnel après la formation