digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Audits & diagnosticsAnalyse de risques cybersécurité
Gouvernance & conformité
Analyse de risques cybersécurité
Audits & diagnostics
Chez Digitemis, l’analyse de risques s’appuie sur EBIOS Risk Manager (ANSSI, 2018) et ISO 27005 : un cadre qui croise conformité, menaces réelles et enjeux métiers, pour produire une feuille de route argumentée, compréhensible du COMEX comme des équipes opérationnelles.
Analyse des risques cybersécurité : Digitemis adopte la méthodologie EBIOS-RISK MANAGER de l’ANSSI
Dans la démarche de mise en place de bonnes pratiques cybersécurité, l’appréciation des risques est une étape majeure. Elle permet de positionner le niveau optimal et adéquat de sécurité dans tous les composants d’un Système d’Information(SI), et ceci en fonction des besoins des métiers et des clients. La méthodologie utilisée par Digitemis pour la réalisation d’analyse de risques cybersécurité s’appuie sur la méthodologie EBIOS-RISK MANAGER (2018) éditée par l’ANSSI et sur la norme ISO 27005.
EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.
Analyse de risques cybersécurité : définir le niveau de sécurité à atteindre
Au sein d’une organisation, l’analyse des risques cybersécurité est utilisée pour plusieurs objectifs. Il s’agit d’abord de mettre en place et renforcer le processus de management du risque sécurité au sein d’une organisation.
Ensuite, il convient de définir le niveau de sécurité à atteindre selon ses cas d’usage envisagés, les risques à contrer et les exigences légales, réglementaires et contractuelles à respecter.
EBIOS RM se caractérise par une approche sous deux axes :
- Par la conformité avec la définition d’un socle de sécurité de base à mettre en place (issue du référentiel 27001, des exigences légales, réglementaires et contractuelles applicables et des bonnes pratiques de l’état de l’art en sécurité)
- Par scénarios par la construction de la démarche d’analyse des risques basée sur la mise en place d’ateliers participatifs pour la construction des scénarios de risques métiers et techniques.
Définir une stratégie de traitement du risque
- Première étape : le cadrage du socle de sécurité permet d’identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Il s’agit également de recenser des missions, valeurs métier et biens supports du système d’information 27001, identifier des événements redoutés associés aux valeurs métier et évaluer la gravité de leurs impacts ; définir le socle de sécurité et les écarts (conformité aux exigences 27001 et autres exigences légales, réglementaires et contractuelles applicables).
- Deuxième étape : Digitemis identifie et caractérise des sources de risque (SR) et leurs objectifs de haut niveau.
- Troisième étape : des scénarios de haut niveau (scénarios stratégiques) sont construits : ils représentent les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. La cartographie de la menace sécurité est établie et évaluée en termes de gravité.
- Quatrième temps : Digitemis construit des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques, puis évalue le niveau de vraisemblance des scénarios opérationnels obtenus.
- Cinquième étape : une synthèse de l’ensemble des risques étudiés est produite en vue de définir une stratégie de traitement du risque. Le plan de traitement des risques décrit les mesures de sécurité d’amélioration continue, les risques résiduels sont identifiés au sein d’un cadre de suivi des risques.
L’approche de l’analyse des risques par Digitemis combine l’ensemble des cas d’usages d’une organisation : systèmes industriels, protection des données personnelles, objets connectés… L’ensemble des critères de sécurité sont abordés : la confidentialité de l’information, la continuité des activités, la traçabilité des événements, l’intégrité des données.
Ils nous font confiance
informations
Contactez-nous
Vous lancez un projet critique, visez une certification ou souhaitez simplement savoir où concentrer vos ressources ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.
*Informations obligatoires
Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.
Expertises liées
FAQ
Questions fréquentes
Si vous avez d’autres questions, n’hésitez pas à nous contacter directement !
Combien de temps dure une analyse EBIOS RM ?
Entre deux et six semaines selon la taille du périmètre et le nombre d’ateliers nécessaires.
Doit-on déjà être certifié ISO 27001 ?
Non ; l’analyse peut être un point de départ. Elle sert alors de socle pour construire ou renforcer votre SMSI.
Quels profils doivent participer aux ateliers ?
Un représentant métier, un expert technique, un responsable sécurité et, idéalement, un décideur capable d’arbitrer les risques majeurs.
À quelle fréquence devons-nous réviser notre analyse de risques ?
Idéalement chaque année – ou dès qu’un changement majeur survient (nouvelle offre, fusion/acquisition, migration cloud, incident significatif). Cette cadence maintient la cartographie à jour, alimente le tableau de bord KPI et garantit que vos décisions sécurité restent alignées sur la réalité métier et réglementaire.
cas client
Découvrez notre approche
Uncategorized
Cas client 1
Uncategorized
Cas client 2
cas client
Découvrez notre approche projet
Uncategorized