Bonjour

Il est impératif de définir, dans un premier temps, le contexte et le périmètre de ton étude. Sans cela, elle n'aura pas d'intérêt.

La méthode Ebios permet de prendre en compte l'ensemble des problèmes sécuritaires (au sens des normes ISO 2700x). Dans ce cadre, il est aberrant de ne considérer que la partie informatique. Pour rappel, cette méthode concerne la SSI : Sécurité des Systèmes d'Information (et pas Informatiques).

Dans ton cas, je pense que l'étude des flux peux se faire, mais après l'étude de site proprement dite.

Bonne chance