OCTAVE
La méthode OCTAVE dont le nom est composé à partir du sigle de l’appellation suivante :
Operationally Critical Treat, and Vulnerability Evaluation est produite par l’Institut
d’ingénierie logiciel de l’université Carnegie Mellon de Pittsburgh aux USA. La démarche
OCTAVE permet de définir les valeurs mises en péril, les risques les plus redoutables ainsi que
la vulnérabilité de la défense en s’appuyant sur une base de connaissances standard (standard
catalogue of information) comprise dans la méthode. À partir de ces résultats, la méthode
permet de développer une stratégie de réduction des risques et de la mettre en œuvre.
La méthode OCTAVE est structurée en trois phases (voir figure 8):
-
Profil des besoins de sécurité à l’égard des valeurs de l’entreprise;
-
Étude des vulnérabilités;
-
Élaboration de la stratégie et du plan de sécurité.
Profil des besoins de sécurité à l’égard des valeurs de l’entreprise
Cette phase vise à obtenir de chaque entité de l’entreprise, un recensement des valeurs, une
perception des risques menaçant ces valeurs (scénarios de risque), les besoins de sécurité en
terme de DIC à l’égard de chaque valeur, la stratégie de protection en cours et les principales
lacunes connues.
Étude de vulnérabilité
Cette étude commande d’abord de circonscrire les éléments techniques correspondant aux
valeurs à protéger, puis de recenser les éléments techniques prioritaires pour ensuite en tester la
vulnérabilité à l’aide d’outils prévus à cet effet.
Stratégie de gestion des risques
Cette phase comporte deux étapes très importantes : l’analyse des risques puis l’élaboration et
la mise en œuvre de la stratégie de sécurité. Dans la première étape, il s’agit de définir l’impact
des risques à l’égard des valeurs les plus critiques. Il faudra ensuite définir la métrique de risque
et enfin de quantifier l’importance des risques à l’égard de chaque valeur. Au cours de l’étape
suivante, il s’agit de consolider les données stratégiques, de créer une stratégie de sécurité, de
rédiger le plan de réduction des risques et de développer le détails des actions à court terme.
Figure 8 Schéma d’OCTAVE
Le développement de la méthode OCTAVE est assuré par l’Université Carnegie Mellon et
parrainé par le CERT. Elle est conçue pour être appliquée de l’intérieur, c’est-à-dire par le
personnel plutôt que par des experts de l’externe. La base de connaissances d’OCTAVE est
maintenant disponible à l’exception d’un élément –
OCTAVE criteria – dont la sortie est
prévue au cours de novembre 2001. Aucun logiciel n’est disponible ou même prévu. Une
formation d’une durée de trois jours peut être obtenue de l’Institut du génie logiciel (SEI) de
l’université Carnagie-Mellon. Les cours se donnent à Pittsburgh (PA) et à Arlington (VA) aux
Etats-Unis au coût d’environ 4 500 $. La documentation relative à la démarche n’est
disponible qu’en anglais au coût d’environ 600 $.
