Analysez vos risques cyber selon la méthode de l'ANSSI — 5 ateliers guidés, du cadrage au plan de traitement, avec génération automatique du rapport.
Définissez le périmètre de l'analyse, les valeurs métier, les biens supports et le socle de sécurité existant.
Identifiez les parties prenantes de l'écosystème, les sources de risques adverses et leurs objectifs visés.
Cartographiez les chemins d'attaque à haut niveau : de la source de risque aux valeurs métier via l'écosystème.
Détaillez les modes opératoires techniques associés à chaque scénario stratégique et évaluez leur vraisemblance.
Priorisez les risques résiduels, définissez les mesures de sécurité et générez le plan de traitement.
Vue Atelier 3 — Scénarios stratégiques
Cartographie complète des actifs critiques, de leurs interdépendances et des besoins de sécurité (DICT).
Identifiez parties prenantes, niveaux d'exposition et dépendances externes au périmètre étudié.
Bibliothèque de profils d'attaquants (états, cybercriminels, initiés, hacktivistes) avec niveaux de motivation et capacité.
Visualisation interactive des chemins d'attaque traversant l'écosystème vers les valeurs métier cibles.
Description détaillée des scénarios opérationnels avec cotation de la vraisemblance et de la gravité.
Vue synthétique des risques bruts et résiduels, avec filtres par atelier et par niveau de risque.
Sélection et priorisation des mesures de sécurité avec responsable, délai et coût estimé.
Génération automatique du rapport EBIOS RM complet, personnalisable, prêt pour l'ANSSI ou votre CODIR.
Répondez aux exigences LPM et homologation ANSSI avec un dossier d'analyse conforme à la méthode officielle.
Analysez les risques sur vos SI de santé ou vos prestations numériques dans le cadre PGSSI-S.
Couvrez les exigences DORA et NIS2 pour la gestion des risques liés aux tiers et à la chaîne d'approvisionnement.
Pour les systèmes industriels connectés, combinez EBIOS RM avec l'analyse IEC 62443 zones/conduits.
L'approche VBRA (Vulnerability-Based Risk Analysis), compatible ISO/IEC 27005, ancre les scénarios EBIOS dans les vulnérabilités concrètes de votre SI — importées depuis vos scans ou la base NVD.
Importez un rapport Nessus, OpenVAS, Qualys ou un export CSV/JSON — les vulnérabilités sont parsées et rattachées aux biens supports EBIOS.
Pour chaque bien support (serveur, application, équipement réseau), les CVE actives sont récupérées depuis la base NVD avec score CVSS v3.
Les CVE critiques (> 7.0) sur les biens supports exposés génèrent automatiquement des suggestions de scénarios opérationnels EBIOS.
Le score CVSS et la disponibilité d'un exploit public (PoC) sont pris en compte dans la cotation de vraisemblance du scénario opérationnel.
Les mesures de remédiation CVE (patchs, mitigations) s'intègrent directement dans le plan de traitement EBIOS — traçabilité 27005 assurée.
Nessus (.nessus), OpenVAS (XML), Qualys (CSV/XML), Tenable.io, Rapid7 InsightVM — parsage automatique des findings.
Enrichissement CVE via l'API NVD (NIST) — score CVSS v3, vecteur d'attaque, disponibilité d'un exploit PoC (Exploit-DB, GitHub).
Alertes automatiques lorsqu'une nouvelle CVE affecte un bien support déjà référencé dans votre analyse EBIOS.
Chaque CVE intégrée est tracée dans le registre de risques avec référence normative et lien vers le traitement appliqué.
Chaque champ s'appuie sur des bibliothèques intégrées pour accélérer la saisie, harmoniser le vocabulaire et éviter les oublis.
Catalogue de profils d'attaquants classifiés par type (état, cybercriminel, initié, hacktiviste), motivation et niveau de capacité technique.
Référentiel de valeurs métier par secteur (santé, finance, énergie, industrie…) avec besoins de sécurité DICT préconfigurés.
Bibliothèque de techniques d'attaque alignée MITRE ATT&CK pour peupler les scénarios opérationnels avec des modes opératoires réalistes.
Catalogue de mesures de sécurité issu des référentiels ANSSI, ISO 27001 et guides techniques — prêt à insérer dans le plan de traitement.
Sur chaque fiche EBIOS RM, un assistant IA contextuel propose des suggestions, complète les champs et détecte les incohérences.
Après la saisie d'une valeur métier, l'IA propose les biens supports typiquement associés (serveurs, applications, annuaires…).
L'IA signale si un scénario opérationnel est incompatible avec le niveau de capacité déclaré de la source de risque.
Générez automatiquement la description narrative d'un scénario à partir de ses éléments structurés (source, chemin, valeur cible).