|
Présentation d'OCTAVE
Les concepteurs d'OCTAVE sont issus de Carnegie
Mellon, université américaine très
réputée dans la sécurité des systèmes
d'information et à l'origine du premier CERT, centre de veille
et d'assistance spécialisé contre les intrusions informatiques.
Lors de leurs précédentes expériences
en terme de gestion des risques, ces spécialistes ont eu l'occasion
de voir les limites des méthodes orientée "menaces
type" qui nécessitaient l'intervention de consultants sécurité
externes à l'entreprises.
Ces limites étaient notamment :
approche basée sur des "menaces
types" plutôt que sur les vrais actifs de l'entreprise
à protéger et donc pas de priorisation " business
" des mesures correctives, faible implication des utilisateurs et de
la direction, et donc absence de diffusion de cette culture de gestion
des risques en interne,
coûts importants liés à
la présence de consultants externes (également liés
aux coûts d'acquisition de logiciels support à la méthode),
au final, mauvaise compréhension par
l'entreprise des actions à mener pour améliorer la sécurité.
|
 |
|
|
OCTAVE : une démarche orientée vers l'intérieur de l'Entreprise
En réaction, ces experts ont développé une méthode qui puisse être menée de l'intérieur de l'entreprise, et qui :
implique le management et le personnel sur la protection des actifs de l'entreprise,
identifie les risques spécifiques à l'entreprises et permette une priorisation des mesures correctives,
couvre la sécurité sur l'ensemble des processus importants de l'entreprise, tant sur un plan organisationnel, fonctionnel que technique.
La première version d'OCTAVE a été publiée en 1999. Plusieurs apports en été effectués, le dernier datant de 2003 concerne une déclinaison d'Octave pour les petites entreprises (en dessous de 200 personnes).
Cette méthode est assez diffusée aux Etats Unis et également au Canada. Elle n'est pas traduite en Français. |
Domaines sécurité
