OCTAVE

OCTAVE est une évaluation des menaces, des actifs et des vulnérabilités qui fournit des lignes directrices en matière de sécurité pour planifier les cyberdéfenses et déterminer le niveau de risque. Ce cadre décrit une méthode pour aider les organisations à minimiser leur exposition aux menaces potentielles et à déterminer les conséquences probables des attaques. Il les aide également à faire face aux attaques réussies.

OCTAVE définit trois phases : Phase 1 : créer des profils de menaces basés sur les actifs Phase 2 : identifier les vulnérabilités de l'infrastructure Phase 3 : élaborer une stratégie et des plans de sécurité OCTAVE a été développé en 2001 à l'université Carnegie Mellon (CMU), pour le ministère de la Défense des États-Unis. Le cadre a connu plusieurs phases d'évolution depuis lors, mais les principes et objectifs de base sont restés les mêmes. Il existe deux versions : OCTAVE-S, une méthodologie simplifiée pour les petites organisations qui ont des structures hiérarchiques plates, et OCTAVE Allegro, une version plus complète pour les grandes organisations ou celles qui ont des structures à plusieurs niveaux. Les critiques formulées à l'encontre d'OCTAVE portent sur sa complexité et sur le fait qu'il ne produit pas d'analyse quantitative détaillée de l'exposition à la sécurité.

OCTAVE est conçu pour tirer parti de l'expérience et de l'expertise des personnes au sein de l'organisation. La première étape consiste à établir des profils de menaces sur la base du risque relatif qu'elles représentent. Le processus se poursuit par une évaluation de la vulnérabilité propre à l'organisation.