“EBIOS vous fait peur ? Commencez par FEROS : l’antipasti des analyses de risques.”
🍝 Entrée en matière : quand EBIOS vous donne des crampes au cerveau
Soyons honnêtes.
Rien que l’acronyme EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité – Risk Manager) a de quoi filer des sueurs froides à plus d’un chef de projet ou DSI pressé. Matrices, scénarios, vraisemblance, gravité, menaces ciblées… Vous pensiez piloter un projet, pas écrire une thèse de cybersécurité.
Voir notre article : 🧠 EBIOS : Une méthode barbare pour penser la cybersécurité intelligemment (et à la française, cocorico !)
Et pourtant, ignorer les risques, surtout aujourd’hui, c’est comme rouler à 130 km/h sur une route de montagne avec les phares éteints. C’est excitant… jusqu’à ce que ça ne le soit plus.
C’est là qu’arrive notre héros discret : FEROS. Simple, rapide, efficace.
Pas besoin de 15 réunions, 30 post-its ni de brain-storming sous anxiolytiques.
🤓 FEROS, c’est quoi exactement ?
FEROS, pour Fiche d’Évaluation du Risque Organisationnel et Stratégique, est un outil mis en avant par l’ANSSI(Agence nationale de la sécurité des systèmes d’information).
L’idée est simple : permettre à une équipe, une direction ou un RSSI de qualifier rapidement un risque à un niveau stratégique ou organisationnel, sans entrer tout de suite dans la mécanique lourde d’une analyse EBIOS.
✏️ Concrètement, FEROS c’est :
- Une matrice de 3×3 ou 4×4 cases.
- Deux axes : impact potentiel vs probabilité ou vraisemblance.
- On positionne un projet, un changement, ou une menace dans cette matrice.
- Résultat : un niveau de risque brut (faible, moyen, élevé) qui alerte ou non sur la nécessité d’aller plus loin.
🧠 Pourquoi FEROS est-il utile (et même intelligent) ?
Parce qu’il permet de ne pas foncer tête baissée dans EBIOS RM à chaque fois qu’un RSSI éternue.
Parce qu’il donne un outil aux PMO, chefs de projet, DPO ou responsables d’appli pour intégrer la cyber dès les premières discussions.
Et surtout, parce que FEROS rend visible ce qui est souvent flou :
“Ce changement, on le sent un peu risqué… mais on n’a rien pour l’évaluer formellement.”
FEROS vous donne cette formalisation.
Pas besoin de tout modéliser : une demi-heure en réunion suffit pour remplir une fiche et savoir si le feu est vert, orange ou rouge.
🔁 FEROS + EBIOS : un duo gagnant
FEROS ne remplace pas EBIOS RM. Ce serait comme dire qu’un amuse-bouche remplace un plat principal.
Mais FEROS prépare le terrain, avec finesse :
- En cadrant les risques dès l’amont : on évite les analyses inutiles et les projets bancals.
- En priorisant les ressources : seuls les sujets avec un risque élevé passent en EBIOS RM.
- En évitant l’effet tunnel : EBIOS arrive souvent trop tard. FEROS agit dès la réflexion stratégique.
🧩 Exemple de chaîne logique :
- Projet : interconnexion d’un outil SaaS RH avec l’AD.
- FEROS : Risque stratégique fort (dépendance fournisseur, données sensibles).
- Décision : Lancer une analyse EBIOS RM sur l’impact réel d’une compromission et les mesures de mitigation.
Simple. Fluide. Intelligent.
🧪 Cas d’usage concret : projet IT dans une collectivité
Prenons un exemple bien réel : une mairie veut implémenter une nouvelle plateforme cloud pour la gestion des ressources humaines.
👉 En réunion projet, le RSSI sort sa fiche FEROS :
- Impact : potentiel élevé (données RH sensibles, dépendance externe).
- Vraisemblance : modérée (peu de contrôles sur le fournisseur, nouveau contrat).
🎯 Résultat : case « Risque élevé » dans FEROS → lancement immédiat d’un EBIOS RM simplifié.
Le projet est maintenu, mais sous conditions de sécurité. Le service juridique s’implique. On ajoute un MFA, on contrôle les logs. La cybersécurité devient une dimension structurante, pas une rustine de dernière minute.
🤹♂️ Les limites de FEROS (parce qu’il en a, comme tout le monde)
FEROS est subjectif. Ce n’est pas un outil scientifique, mais une grille de lecture.
Il repose sur le bon sens, l’expérience et la discussion.
Il ne modélise pas les menaces comme EBIOS. Il ne vous dira pas si un attaquant peut injecter du code ou compromettre une session.
Et surtout : il ne suffit pas à lui seul pour piloter une sécurité SI.
Mais en tant que déclencheur d’alerte, outil de cadrage, et starter de culture du risque, c’est une vraie pépite.
🛠️ En pratique, comment l’utiliser ?
- Intégrer la fiche FEROS dans vos comités projets.
- Former les chefs de projets à l’utiliser en 30 minutes chrono.
- Archiver les fiches : elles permettent de justifier des choix de pilotage ou des arbitrages.
- L’utiliser comme critère de passage à l’analyse EBIOS.
Et si vraiment vous voulez briller : créez un tableau de bord FEROS avec code couleur pour vos projets en cours. Instantanément, la cybersécurité devient lisible par tous.
🧭 Conclusion : petit mais costaud
FEROS, c’est l’outil qu’on aurait dû vous donner en même temps que votre badge de chef de projet.
Il est pragmatique, rapide, compréhensible par tous.
Et surtout, il fait entrer la cybersécurité dans les discussions, avant qu’il ne soit trop tard.
Pas besoin d’être RSSI ou d’avoir lu tout le corpus EBIOS pour commencer à poser les bonnes questions. Avec FEROS, vous pouvez agir vite, bien, et avec du bon sens.
📥 Bonus à télécharger
- [📄 Modèle Excel FEROS à adapter à vos projets]
- [🖼️ Infographie : FEROS vs EBIOS – Qui fait quoi, quand, comment ?]
