Analyse des risques

Méthode OCTAVE
ISO27003
 Plan
• Introduction
• Historique
• concept
 Introduction
• Le risque
• La norme ISO définit le risque dans les termes
suivants : « L’effet de l’incertitude sur l’atteinte
des objectifs »
• Il peut être quantifié en tenant compte des
trois éléments :
• Les trois concepts cités peuvent modifier les
critères de sécurité, qui sont :

• • L’intégrité
• • La confidentialité
• • La disponibilité
Méthode OCTAVE
Actuellement, il existe de nombrables
méthodes de gestion et d’analyse des
risques ces méthodes font référence dans
leur domaine et sont les plus utilisées dans la
conduite d’une démarche de gestion des
risques.
Elles sont considérées comme des guides
méthodologiques, informels ou semi formels.
Chacune de ces méthodes a été développée
pour répondre à un besoin spécifique. Les
méthodologies de gestion des risques sont
nombreuses.
Méthode OCTAVE

Historique
La méthode OCTAVE provient de l'université
américaine Carnegie Mellon University. Celle-ci
est réputée pour ses travaux en matière de
sécurité informatique. OCTAVE fut créé en 1999
et une deuxième version parut en 2001. De plus,
une version allégée nommée OCTAVE-S fut
présentée en 2003.
• La méthode OCTAVE est utilisée dans les grandes
entreprises (plus de 300 employés) et fournit les
lignes directrices pour la conduite de la sécurité
intérieure.

• La méthode OCTAVE-S a été développée pour les

petites entreprises ( moins de 100 employés) et
suppose que les personnes chargées de
l'évaluation des risques, les exigences de sécurité,
les menaces et les pratiques de sécurité de
l'organisation sont connues, et ils ne nécessitent
pas de mener des entrevues, des sondages et des
ateliers.
Méthode OCTAVE

Concept
• OCTAVE se spécialise dans l'évaluation des
vulnérabilités et des menaces sur les actifs
opérationnels importants d'une entreprise.
L'un des objectifs principaux des créateurs était
de mettre au point une méthode pouvant être
pilotée à l'interne dans l'entreprise.
• Pour cela, la méthode requiert qu'une équipe
multidisciplinaire soit formée afin d'obtenir
différents points de vue et, ainsi, définir un
portrait réel de l'entreprise en matière de
sécurité. Du même coup, les employés
deviennent sensibilisés à la problématique
des risques informatiques.
• OCTAVE fournit un Framework d'évaluation des
risques, composé de quatre phases:

• 1- Définir les paramètres : Établir les critères

d’évaluation.
• 2- Définir les profils d’actifs : Établir les profils des actifs
informationnels et identifier les intervenants.
• 3- Identifier les menaces : Identifier les domaines de
préoccupation et les scénarios de menaces.
• 4- Identifier et atténuer les risques : Identifier les
risques, analyser les risques, et choisir une approche
face aux risques.
• Comparatif des normes
III. Présentation des principales normes
La norme de sécurité

27003
 introduction
• En règle générale, les normes sont des accords
documentés et acceptés communément par
des pays ou à l’échelle planétaire
• L’AFNOR (Association Française de
Normalisation) définit la norme comme une «
donnée de référence résultant d’un choix
collectif raisonné en vue de servir de base
d’action pour la solution de problèmes
répétitifs ».