Applied Risk Management using ANSSI's EBIOS RM methodology
This repository contains three real-world EBIOS Risk Manager (EBIOS RM) case studies applied across critical infrastructure sectors. Each study follows the full ANSSI methodology through 5 structured workshops (ateliers), covering threat source identification, risk scenario modeling, and treatment recommendations.
| # | File | Sector | Framework | Key Threats |
|---|---|---|---|---|
| 1 | EBIOS_RM_AXA_Cloud_Azure.docx |
Insurance / Finance | EBIOS RM + Cloud (CSP) | Data breach, Cloud misconfiguration, Ransomware |
| 2 | EBIOS_RM_Banque_SPI_DORA.docx |
Banking | EBIOS RM + DORA | Operational resilience, ICT third-party risk, Cyberattacks |
| 3 | EBIOS_RM_TransRail_SupplyChain.docx |
Rail / Transport | EBIOS RM | Supply chain attacks, SCADA/OT compromise, Sabotage |
EBIOS Risk Manager (Expression des Besoins et Identification des Objectifs de Sécurité) is the French national risk management standard developed by ANSSI (Agence nationale de la sécurité des systèmes d'information).
┌─────────────────────────────────────────────────────────────────┐
│ EBIOS RM — 5 WORKSHOPS │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ATELIER 1 ──► ATELIER 2 ──► ATELIER 3 ──► ATELIER 4 ──► ATELIER 5 │
│ │
│ Cadrage & Sources de Scénarios Scénarios Traitement │
│ Socle de Risque (SR) Stratégiques Opérationnels du Risque │
│ Sécurité (SS) (SO) │
│ │
│ ✓ Périmètre ✓ Motivations ✓ Biens ✓ Modes ✓ Mesures │
│ ✓ SMSI ✓ Capacités ✓ Supportés ✓ Opératoires ✓ Risques │
│ ✓ Valeurs ✓ Ciblage ✓ Chemins ✓ Vraisemblance ✓ Résiduel │
│ Métier d'Attaque │
└─────────────────────────────────────────────────────────────────┘
Sector: Insurance & Financial Services
Context: Cloud migration of critical insurance systems to Microsoft Azure
| Scenario | Source de Risque | Vraisemblance | Gravité | Niveau |
|---|---|---|---|---|
| Exfiltration de données assurés | Cybercriminel organisé | 3 | 4 | CRITIQUE |
| Ransomware sur infrastructure cloud | Groupe APT | 3 | 4 | CRITIQUE |
| Misconfiguration Azure IAM | Initié malveillant | 2 | 3 | IMPORTANT |
| Compromission API Gateway | Cybercriminel | 2 | 3 | IMPORTANT |
| DDoS sur services en ligne | Hacktiviste | 3 | 2 | MODÉRÉ |
mesures_prioritaires = {
"Gouvernance": [
"Politique SMSI Cloud spécifique",
"Procédure de gestion des incidents cloud",
"Revue de sécurité trimestrielle Azure"
],
"Technique": [
"Azure Defender for Cloud (niveau Standard)",
"Chiffrement AES-256 au repos et en transit",
"Zero Trust Network Architecture (ZTNA)",
"MFA obligatoire + Conditional Access Policies",
"SIEM Azure Sentinel avec règles UEBA"
],
"Organisationnel": [
"Formation sécurité cloud DevOps teams",
"Exercices de simulation d'incidents",
"Audit de conformité ISO 27017/27018"
]
}Sector: Banking & Financial Services
Context: DORA compliance assessment for a mid-size French bank (SPI — Système de Paiement Interbancaire)
| Pilier DORA | Article | Risque Identifié | Maturité Actuelle | Cible |
|---|---|---|---|---|
| ICT Risk Management | Art. 5-16 | Framework incomplet | 2/5 | 4/5 |
| Incident Reporting | Art. 17-23 | Délais non respectés | 1/5 | 4/5 |
| Digital Operational Testing | Art. 24-27 | Tests TLPT absents | 1/5 | 3/5 |
| ICT Third-Party Risk | Art. 28-44 | Mapping fournisseurs incomplet | 2/5 | 4/5 |
| Info Sharing | Art. 45-49 | Participation limitée | 2/5 | 3/5 |
GRAVITÉ
5 │ ██ Ransomware sur core banking
│ ██ Fraude interne SI paiement
4 │ ██ Défaillance prestataire critique
│ ██ Attaque SWIFT/SEPA
3 │ ██ Vol de données clients
│ ██ DDoS plateforme digitale
2 │ ██ Erreur configuration réseau
│
1 └────────────────────────────────── VRAISEMBLANCE
1 2 3 4 5
Sector: Rail Transport & Critical Infrastructure
Context: Supply chain security assessment for a French rail operator
scenarios_supply_chain = {
"SS-01": {
"titre": "Compromission logiciel SCADA via mise à jour malveillante",
"source_risque": "Groupe APT étatique",
"bien_supporte": "Systèmes de contrôle-commande",
"vraisemblance": 3,
"gravite": 5,
"niveau_risque": "CRITIQUE"
},
"SS-02": {
"titre": "Backdoor dans composant électronique embarqué",
"source_risque": "Fournisseur compromis",
"bien_supporte": "Matériel embarqué trains",
"vraisemblance": 2,
"gravite": 5,
"niveau_risque": "CRITIQUE"
},
"SS-03": {
"titre": "Attaque sur prestataire maintenance IT",
"source_risque": "Cybercriminel",
"bien_supporte": "Infrastructure IT centrale",
"vraisemblance": 3,
"gravite": 4,
"niveau_risque": "IMPORTANT"
}
}- Segmentation stricte réseaux OT/IT (IEC 62443)
- Qualification des fournisseurs (SecNumCloud equivalent pour OT)
- Politique de gestion des mises à jour signées cryptographiquement
- Surveillance comportementale des accès tiers (PAM)
| Secteur | Risques Critiques | Risques Importants | Mesures Prioritaires |
|---|---|---|---|
| AXA / Cloud Azure | 2 | 3 | 15 |
| Banque SPI / DORA | 3 | 4 | 22 |
| TransRail Supply Chain | 2 | 2 | 12 |
| Total | 7 | 9 | 49 |
🎯 Sources de Risque communes aux 3 secteurs :
├── Cybercriminels organisés (ransomware, fraude) ████████████ 95%
├── Groupes APT étatiques (espionnage, sabotage) ████████░░░░ 70%
├── Initiés malveillants (vol de données) ██████░░░░░░ 55%
├── Fournisseurs compromis (supply chain) ██████░░░░░░ 50%
└── Hacktivistes (DDoS, défacement) ████░░░░░░░░ 35%
| Standard | Description | Application |
|---|---|---|
| EBIOS RM v1.5 | Méthode ANSSI | Tous cas |
| ISO/IEC 27005:2022 | Information security risk management | Tous cas |
| DORA Regulation | EU 2022/2554 - Digital Operational Resilience | Banque SPI |
| NIS2 Directive | EU 2022/2555 - Network & Information Security | Tous cas |
| IEC 62443 | Industrial Cybersecurity | TransRail |
FilAmine — Cybersecurity Engineer | GRC Specialist
🔗 GitHub Profile | 💼 LinkedIn
These case studies are created for educational and professional demonstration purposes. Sensitive data has been anonymized and fictitious elements have been added.