Zeroday Cyber Academy

Glossaire cyber

Risk analysis cyber : ISO 27005, EBIOS RM, FAIR comparés

Analyse de risque cyber 2026 : ISO 27005:2022, EBIOS Risk Manager, FAIR, NIST SP 800-30, méthodologies quantitatives vs qualitatives et tooling.

Naim Aouaichia
14 min de lecture
  • Risk analysis
  • Risk management
  • ISO 27005
  • EBIOS
  • FAIR
  • Cybersécurité

L'analyse de risque cyber identifie, valorise et priorise les risques pesant sur les systèmes d'information, chaque méthode vise à répondre à la même question (quels risques traiter, comment, à quel coût ?), mais avec des angles, profondeurs et coûts différents. Les 3 méthodologies dominantes 2026 : ISO/IEC 27005:2022 (révisée octobre 2022, ~80 pages, aligné ISO 27001:2022, exigée pour ISMS certifié), EBIOS Risk Manager (ANSSI v1.5 2018, MAJ novembre 2023, méthode française obligatoire pour OIV/SecNumCloud, gratuite), FAIR (Factor Analysis of Information Risk) (Jack Jones 2005, livre Open FAIR 2014, FAIR-CAM v3 mai 2024, quantitatif via Monte Carlo). À côté : NIST SP 800-30 r1 (2012, US gov), OCTAVE Allegro (CMU 2007, niche), MEHARI (CLUSIF, vieillissant), ISO 31000:2018 (méta-cadre risk management). La pression réglementaire 2025-2026 est massive : NIS2 (transposée FR octobre 2024, décret 2024-1126) impose une analyse de risque cyber documentée à 18 secteurs critiques (~10 000 entités françaises selon ANSSI), DORA (UE 2022/2554, applicable 17 janvier 2025) ajoute exigences quantitatives au secteur financier, ANSSI Référentiel SecNumCloud v3.2 impose EBIOS RM. Cet article documente les 5 méthodologies majeures comparées, le virage quantitatif FAIR, le workflow opérationnel, l'outillage 2026, et les anti-patterns persistants.

Pour le contexte : voir BIA (Business Impact Analysis) qui complète l'analyse de risque côté impact opérationnel. Pour le scoring obsolète : DREAD. Pour le scoring vulns concrètes : CVSS.

Le bon mental model : risque = vraisemblance × impact, pas plus, pas moins

Erreur conceptuelle la plus fréquente : confondre risque avec vulnérabilité ou menace. La définition canonique ISO 27005:2022 §3 :

Risque = Vraisemblance(Source de risque exploite vulnérabilité) × Impact(sur l'actif)

Une vulnérabilité CVE-2024-21887 Ivanti CVSS 9.1 n'est pas un risque en soi. Devient un risque uniquement si :

  1. Une source de risque (acteur APT type UNC5325, ransomware Akira) la cible.
  2. Le système touché a une valeur (données clients, OT industriel, IP propriétaire).
  3. Le contexte rend l'exploitation possible (Internet-facing, pas patchée).

Trois implications pratiques :

  • Une vuln sur un serveur isolé sans données = risque faible même si CVSS 10.
  • Une faille même CVSS 5.5 sur un AD prod exposé = risque critique car blast radius énorme.
  • Un risque sans source de risque crédible (qui voudrait attaquer ce système ?) = théorique.

C'est cette discipline qui sépare une analyse de risque utile d'un Excel rempli de CVSS.

Comparatif technique : 5 méthodologies majeures

CritèreISO 27005:2022EBIOS Risk ManagerFAIRNIST SP 800-30 r1OCTAVE Allegro
Année / version2022 (3e révision)v1.5 2018, MAJ 20232005, FAIR-CAM v3 mai 20242012 (r1)2007 (CMU SEI)
OrigineISO/IECANSSI (FR)Jack Jones, Open GroupNIST (US gov)CMU SEI
ApprocheQualitative par défautScénarios stratégiques + opérationnelsQuantitative Monte CarloQualitativeQualitative
OutputRisk register, risk treatment plan5 livrables ateliers, scénariosALE en € fourchette p10-p90Risk assessment reportRisk profile
Compatible ISO 27001Oui (référence directe)Oui (mapping documenté)Oui (intégration possible)CompatibleCompatible
Cas d'usage primaireISMS génériqueOIV / SecNumCloud / gov FRReporting CISO/CRO/BoardUS fed, FedRAMPPME, recherche académique
Coût méthodoGratuit (norme payante ~150€)Gratuit (méthode + outillage)Méthode gratuite, outils payantsGratuitGratuit
Effort initial typique4-8 semaines6-12 semaines (5 ateliers)8-16 semaines4-8 semaines3-6 semaines
Tooling de référenceServiceNow IRM, ArcherEgerie, Mantis, Agile Risk ManagerRiskLens, FAIR-UOpen Source MITRE RAMOCTAVE-A workshop kit
Recommandation 2026Référence ISMSOIV/gov FR + identification chemins d'attaqueReporting financier risque cyberUS fed/secteur publicNiche, plus maintenue activement

Détail méthodologique : EBIOS Risk Manager

EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité, Risk Manager) est la méthode française phare. 5 ateliers en cascade :

AtelierObjectifLivrables
Atelier 1, Cadrage et socle de sécuritéDéfinir périmètre, valeurs métier, biens supports, événements redoutésDescription écosystème, cartographie biens essentiels
Atelier 2, Sources de risque et objectifs visésIdentifier qui attaque (états, criminels, hacktivistes, internes) et leurs objectifsCouples SR/OV (Source de Risque / Objectif Visé)
Atelier 3, Scénarios stratégiquesModéliser les chemins d'attaque haut niveau (parties prenantes critiques, écosystème)Scénarios stratégiques avec gravité
Atelier 4, Scénarios opérationnelsDétailler TTPs MITRE ATT&CK des chemins d'attaque (lateral movement, exfil)Scénarios opérationnels avec vraisemblance
Atelier 5, Traitement du risquePlan de mesures, risque résiduel, validation comitéPACS (Plan d'Amélioration Continue de la Sécurité)

L'originalité d'EBIOS RM par rapport à ISO 27005 : la modélisation explicite des sources de risque crédibles (atelier 2) et des chemins d'attaque (ateliers 3+4). C'est ce qui en fait une méthode supérieure pour les contextes APT / ransomware industriel, là où ISO 27005 reste plus abstrait.

# Outillage open source EBIOS RM (Club EBIOS)
git clone https://github.com/cea-sec/MISP-EBIOS
 
# Outils commerciaux français
# - Egerie (Egerie Risk Manager) : leader FR ~30-80k€/an
# - Mantis (CITALID) : analyse cyber + threat intel intégré
# - Agile Risk Manager : EBIOS RM + GRC
 
# Workshop standardisé : 5 ateliers de 2-4h chacun avec stakeholders
# Total typique 6-12 semaines pour PME-ETI 200-1500 personnes

Détail méthodologique : FAIR (quantification financière)

FAIR (Factor Analysis of Information Risk) décompose mathématiquement le risque en variables estimables :

Risk = Loss Event Frequency (LEF) × Loss Magnitude (LM)

LEF = Threat Event Frequency (TEF) × Vulnerability
LM = Primary Loss + Secondary Loss

Chaque variable est estimée comme une distribution probabiliste (PERT min/max/mode), pas comme un nombre fixe. Simulation Monte Carlo (10 000-100 000 itérations) génère une distribution de risque, exprimée en ALE (Annual Loss Expectancy) avec percentiles p10-p50-p90.

Exemple chiffré, banque retail, scénario ransomware sur core banking :

VariableDistribution PERTSource
TEF (events/year)min=0.05, max=0.4, mode=0.15Stats Coveware Q4 2024 + threat intel
Vulnerability (probability)min=0.2, max=0.6, mode=0.35Posture EDR + backup + segmentation
Primary Loss (€/event)min=1M, max=20M, mode=5MBIA + cost recovery historique
Secondary Loss (€/event)min=0.5M, max=10M, mode=2MACPR fines + reputation impact
# Monte Carlo simulation FAIR, outil RiskLens ou Excel
import numpy as np
 
def fair_simulation(iterations=10000):
    tef = np.random.triangular(0.05, 0.15, 0.4, iterations)
    vuln = np.random.triangular(0.2, 0.35, 0.6, iterations)
    primary = np.random.triangular(1_000_000, 5_000_000, 20_000_000, iterations)
    secondary = np.random.triangular(500_000, 2_000_000, 10_000_000, iterations)
    
    lef = tef * vuln
    lm = primary + secondary
    ale = lef * lm
    
    return {
        "p10": np.percentile(ale, 10),
        "p50": np.percentile(ale, 50),
        "p90": np.percentile(ale, 90),
        "mean": np.mean(ale)
    }
 
result = fair_simulation()
# Output typique:
# p10: 180_000 €
# p50: 1_200_000 €
# p90: 4_500_000 €
# mean: 1_650_000 €

Décision contrôle : si XDR + segmentation + backup immutable réduisent Vulnerability de 0.35 à 0.20 (mode), nouvelle simulation donne ALE médian 700k€ → ΔALE = 500k€/an. XDR coûte 200k€/an → ROI net 300k€/an, justifié.

C'est cette logique qui justifie FAIR au niveau Board / CRO / CISO. Reporting type : « Réduction du risque de 1.2M€ ALE médian via investissement 200k€ ».

Workflow opérationnel : 6 phases ISO 27005-aligned

# Risk register format YAML standardisé
risk_id: RISK-CYBER-001
title: "Ransomware sur core banking via Active Directory"
risk_owner: "RSSI"
business_owner: "Direction Retail"
date_identified: 2026-01-15
last_review: 2026-04-22
 
context:
  - asset: "Core banking system + Active Directory"
  - asset_value: "Tier 0, critique"
  - threat_source: "Ransomware as a Service (Akira, Black Basta)"
  - threat_objective: "Extorsion + data exfil"
 
assessment:
  methodology: "EBIOS RM atelier 4 + FAIR quantification"
  likelihood:
    qualitative: "High"
    quantitative_tef: 0.15  # events/year
  vulnerability:
    qualitative: "Medium"
    quantitative: 0.35
  impact:
    qualitative: "Critical"
    quantitative_ale_median_eur: 1_200_000
    quantitative_ale_p90_eur: 4_500_000
 
current_controls:
  - "EDR CrowdStrike Falcon"
  - "Backup Veeam quotidien (non immutable)"
  - "MFA partiel (admin only)"
 
risk_level: "High"
risk_treatment:
  decision: "Mitigate"
  actions:
    - "Migrer backup vers immutable (Object Lock S3)"
    - "MFA universel via Entra ID"
    - "Tiering AD strict + EDR sur tous les DC"
  budget_eur: 250_000
  target_completion: 2026-09-30
  owner: "DSI + RSSI"
  expected_residual_risk: "Medium"
  expected_ale_after_eur: 600_000
 
review_cycle: quarterly

Phases de mise en œuvre :

  1. Cadrage et établissement du contexte (1-2 sem), périmètre, parties prenantes, critères acceptation.
  2. Identification des risques (2-4 sem), sources de risque, événements redoutés, scénarios.
  3. Analyse des risques (2-4 sem), vraisemblance × impact, scoring qualitatif ou quantitatif.
  4. Évaluation des risques (1-2 sem), comparaison avec critères acceptation, priorisation.
  5. Traitement des risques (2-6 sem), réduction, transfert, acceptation, évitement + plan d'action.
  6. Surveillance et revue (cycle continu), réévaluation trimestrielle ou sur événement.

Total typique : 8-16 semaines pour ISMS PME 200-1000 personnes. Multiplier par 2 si EBIOS RM avec 5 ateliers complets, ×3 si FAIR quantification full.

Stack outillage 2026

OutilTypeTarifForceFaiblesse
EBIOS RM méthode + outillage ClubOpen SourceGratuitStandard FR, ANSSI-alignedSpécifique FR/UE
Egerie Risk ManagerCommercial FR~30-80k€/anEBIOS RM + GRC intégréMarché FR principalement
Mantis (CITALID)Commercial FRSur devisEBIOS RM + threat intelNiche, jeune
Agile Risk ManagerCommercialSur devisEBIOS RM + agilitéPetit éditeur
OpenFAIR (Open Group)Open SourceGratuitStandard FAIRPas d'outil natif
FAIR-U (FAIR Institute)SaaS éducatifGratuit académiquePédagogieLimité prod
RiskLensSaaS Quant~50-150k€/an enterpriseFAIR référence, Monte CarloCher pour PME
ServiceNow IRMGRC SaaS60-150€/user/moisIntégration ServiceNow stackVerrouillage SN
Archer (RSA)GRC enterpriseSur devis (cher)Référence grand compteLourd, complexe
MetricStreamGRC enterpriseSur devisCompliance heavyCoût élevé
RiskonnectGRC + BCM~50-80€/user/moisIntégré BIA + RiskUX correcte
IBM OpenPagesGRC enterpriseSur devisBanque/finance grand compteMainframe-friendly
AllgressGRC mid-marketSur devisLéger, rapideMarché US principalement

Position : pour la majorité PME 200-2000 personnes, EBIOS RM + Excel + Confluence + Egerie suffit largement. Bascule SaaS GRC enterprise (Archer, ServiceNow IRM) seulement à partir de 5+ entités juridiques ou audit complexe SOX/DORA. Anti-pattern : acheter Archer 200k€/an et ne pas avoir d'équipe risk pour l'animer = mauvaise analyse de risque dans outil cher.

Erreurs fréquentes en risk analysis

ErreurSymptômeFix
Confondre vulnérabilité (CVE) et risqueAnalyse de risque = liste de scansAjouter sources de risque, scénarios, valeur actifs
Scoring DREAD encore utiliséSubjectivité massive, non comparableMigrer ISO 27005 H/M/L ou CVSS pour vulns
Risk register Excel non versionnéPerte historique, doublonsGit ou GRC SaaS, review trimestrielle
Pas de revue trimestrielleRisk register obsolète en 6-12 moisCycle calendaire fixe + trigger événement
Pas de risk owner nomméRisques orphelins, pas de traitementOwner par défaut = RSSI, transfert dirigeant
Vraisemblance estimée à la louchePas de calibration, biaisUtiliser PERT (min/mode/max) + benchmarks Coveware
FAIR Monte Carlo sans donnéesFalse precision, GIGOCalibration via threat intel + historique interne
Risque résiduel non documentéPas de signoff, pas d'acceptation formelleValidation CODIR + signature dirigeant
Absence de scénarios cyber industrielsSous-estimation ransomwareAjouter scénarios LockBit, Akira, Cl0p
Pas de mapping aux contrôles ISO 27001Audit certifications difficileMapping risk → contrôle Annex A 27001
Sur-outillage GRC sans équipeOutil cher, données faussesRéduire scope, animer sérieusement
Pas de quantification financière du toutPas d'arbitrage budgétaire CISOCompléter FAIR ou même fourchette H/M/L en €

Mapping framework : risk analysis dans les référentiels 2026

FrameworkRéférenceExigence risk analysis
ISO/IEC 27001:2022clauses 6.1.2, 6.1.3Risk assessment + treatment obligatoire ISMS
ISO/IEC 27005:2022Méthodologie complèteRéférence ISMS
ISO 31000:2018Méta-cadreRisk management génériques
NIST SP 800-30 r12012Risk Assessment Guide
NIST CSF 2.0ID.RA, GV.RMRisk assessment + risk management
EBIOS Risk ManagerANSSI v1.5 + MAJ 2023Méthode FR référence OIV/SecNumCloud
ANSSI SecNumCloud v3.22022EBIOS RM obligatoire
NIS2 (UE 2022/2555)Article 21 §2 (a)Risk analysis cyber documentée
DORA (UE 2022/2554)Articles 6, 8ICT risk management framework
PCI DSS v4.012.3.1Risk assessment annuel
RGPD (UE 2016/679)Art. 35 (DPIA)Analyse d'impact RGPD
SOX (US)Section 404Risk assessment financier
HIPAA Security Rule§164.308(a)(1)(ii)Risk analysis healthcare
FAIROpen Group standardQuantification probabiliste

Pour aller plus loin

Points clés à retenir

  • 5 méthodologies majeures 2026 : ISO 27005:2022 (révisée octobre 2022), EBIOS Risk Manager (ANSSI v1.5, MAJ 2023), FAIR (Jack Jones 2005, FAIR-CAM v3 mai 2024), NIST SP 800-30 r1 (2012), OCTAVE Allegro (CMU 2007, niche).
  • Définition canonique ISO 27005:2022 : Risque = Vraisemblance × Impact. Vulnérabilité ≠ risque, CVE ≠ risque tant que source de risque + actif valorisé + contexte exploitable absents.
  • EBIOS RM : 5 ateliers (cadrage, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement). Force : modélisation explicite des chemins d'attaque, supérieure à ISO 27005 pure pour APT/ransomware.
  • FAIR quantitatif : Risk = LEF × LM via Monte Carlo (10k-100k itérations). Output : ALE en € fourchette p10-p90. Utilisé chez 30%+ des Fortune 500 selon FAIR Institute 2024.
  • Bascule qualitatif → quantitatif justifiée à partir de 3 critères : reporting CISO/CRO en €, arbitrage budgétaire contrôles, compliance DORA/NIS2/SOX. Coût FAIR : 30-90k€ mise en place cabinet senior FR.
  • NIS2 (transposée FR octobre 2024, décret 2024-1126) impose risk analysis cyber à 18 secteurs critiques, ~10 000 entités françaises selon ANSSI. DORA UE 2022/2554 (applicable 17 janvier 2025) complète sur secteur financier.
  • ANSSI SecNumCloud v3.2 impose EBIOS RM. ISO 27001:2022 clause 6.1.2 impose risk assessment + treatment via ISO 27005 ou équivalent.
  • Outillage 2026 : EBIOS RM (gratuit Club EBIOS) + Egerie/Mantis (commercial FR), FAIR-U (gratuit académique) / RiskLens (50-150k€ enterprise), ServiceNow IRM/Archer/MetricStream (GRC SaaS).
  • Cycle ISO 27005 en 6 phases : cadrage → identification → analyse → évaluation → traitement → surveillance. Total 8-16 semaines pour PME 200-1000 personnes.
  • Anti-pattern n°1 : confondre liste de CVE scannées avec analyse de risque. Anti-pattern n°2 : SaaS GRC à 100k€/an sans équipe pour l'animer = mauvaise analyse dans outil cher.
  • Position EBIOS RM : sous-côtée hors France. Sa modélisation des sources de risque + chemins d'attaque est métho-logiquement supérieure pour modéliser APT/ransomware. Défendable n'importe où, surtout phase identification.
  • Combo recommandé 2026 : EBIOS RM (identification scénarios) + ISO 27005 (structure ISMS) + FAIR (quantification financière) selon contexte. Souvent les trois cohabitent dans une org mature.

Questions fréquentes

  • ISO 27005 vs EBIOS RM vs FAIR : laquelle choisir en 2026 ?
    Trois logiques distinctes. **ISO 27005:2022** (révisée octobre 2022, ~80 pages), méthodologie agnostique alignée ISO 27001:2022, exigée pour ISMS certifié, qualitative par défaut. **EBIOS Risk Manager** (ANSSI v1.5 2018, MAJ 2023), méthode française orientée scénarios stratégiques, obligatoire pour OIV/SecNumCloud, gratuite, outillage Club EBIOS. **FAIR** (Factor Analysis of Information Risk, Jack Jones 2005, livre Open FAIR 2014), méthode quantitative en € via simulation Monte Carlo, idéale reporting CISO/CRO. Position : pour ISO 27001 utiliser ISO 27005, pour OIV/gov FR utiliser EBIOS RM, pour quantification business utiliser FAIR. Souvent les trois cohabitent : EBIOS pour identifier scénarios, ISO 27005 pour structurer, FAIR pour valoriser.
  • Risk analysis qualitatif vs quantitatif : quand basculer ?
    Qualitatif (H/M/L ou matrice 5×5 ISO 27005) suffit pour 80% des PME et démarrages ISMS, rapide, peu coûteux, accessible. Bascule quantitatif (FAIR, FAIR-CAM 2024) justifiée à partir de 3 critères : 1) reporting CISO/CRO/Board exige une fourchette en € (Annual Loss Expectancy), 2) arbitrage budgétaire entre contrôles (ROI sécurité chiffré), 3) compliance DORA / NIS2 / SOX exigeant une démonstration quantifiée. Coût : 30-90k€ pour mise en place FAIR par cabinet senior FR. ROI mesuré à 12-18 mois quand bien implémenté.
  • EBIOS Risk Manager est-elle pertinente hors France en 2026 ?
    Sous-côtée à l'international. EBIOS RM (ANSSI 2018, mise à jour novembre 2023) est utilisée majoritairement en France et OIV francophones, mais sa méthode des **5 ateliers** + **scénarios stratégiques** (chemins d'attaque) + **scénarios opérationnels** (TTPs concrètes) est métho-logiquement supérieure à ISO 27005 pure pour modéliser les attaques APT. ENISA l'a référencée en 2023 comme méthodologie de référence européenne. CCN-CERT espagnol l'a adaptée. Hors compliance, EBIOS RM est défendable n'importe où, surtout pour la phase identification des sources de risque et chemins d'attaque, qui manque cruellement à ISO 27005.
  • Comment quantifier financièrement un risque cyber avec FAIR ?
    FAIR décompose le risque en : **TEF (Threat Event Frequency)** × **Vulnerability** × **(Primary Loss + Secondary Loss)**. Chaque variable est estimée en distribution probabiliste (min, max, mode), simulation Monte Carlo (10 000+ itérations) sur outil RiskLens, FAIR-U (open source) ou Excel + plugin. Output : ALE (Annual Loss Expectancy) en fourchette p10-p90. Exemple banque retail : risque ransomware sur core banking = ALE médian 4.5M€, p90 12M€. Décision contrôle : EDR XDR 800k€/an justifié si réduit ALE de 30%+ → ROI net 550k€/an. Méthode utilisée chez 30%+ des Fortune 500 selon FAIR Institute 2024.
  • Quels outils pour conduire une risk analysis en 2026 ?
    Trois familles. **Méthodologies pures (gratuit)** : EBIOS RM (ANSSI, outillage Club EBIOS), MEHARI (CLUSIF, vieillissant), OpenFAIR (Open Group). **GRC SaaS commercial** : Archer (RSA), ServiceNow IRM (60-150€/user/mois), MetricStream, Riskonnect, IBM OpenPages. **Quantitative spécialisé** : RiskLens (FAIR Institute partner, sur devis enterprise ~50-150k€/an), Allgress, FAIR-U (Open Group, gratuit version éducative). Recommandation : EBIOS RM + Excel + Confluence pour démarrer, GRC SaaS si > 5 entités, FAIR-RiskLens si reporting Board chiffré obligatoire. Anti-pattern : SaaS GRC à 100k€/an sans personne pour l'animer.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également