République Algérienne Démocratique Et Populaire

Ministère de l’Education Et De La Formation Professionnelle

Direction de l’éducation et de la formation professionnelle de la Wilaya de

Tizi Ouzou

Centre de formation professionnelle « IMARZOUKEN Mohand Arezki »

Module : Administration Sécurité Réseaux Informatique

Thème :

La Méthode OCTAVE

Réalisé par : Proposé par

Mr MOHAMEDI
BENABDELAZIZ Aldjia
AIT AMMAR Khadidja
BOUTALEB Kenza
OUZIANE Yacine

Année d’étude : 2024/2025

 SOMMAIRE

IntroductIon……………………………………………………………page1

[Link] de la methode octave…….………………..page2

[Link] phases de la methode octave ..………………….page3

[Link] versionS de la methode octave…..……………..PAGE3

4. evaluer et hierachiser les risques de securite

avec la methode octave………………………………………page4

[Link] de l’apporche octave.……..……page5

6-etude de cas………………………………………………………..pages

7-concusIon……………………………………………………………..pages
 Introduction

Les risques liés à la sécurité des réseaux évoluent constamment

et mettent les entreprises au défi de protéger leurs actifs, leurs données
et leur réputation. Comment pouvez-vous évaluer et hiérarchiser ces
risques de manière systématique et efficace ? Une méthode possible
est OCTAVE, qui signifie Operationally Critical Threat, Asset, and
Vulnerability Evaluation. OCTAVE est un cadre qui vous aide à
identifier vos actifs, menaces et vulnérabilités les plus critiques, puis à
élaborer un plan d’atténuation des risques en fonction de votre
contexte organisationnel et de vos objectifs. Dans cet article, vous
apprendrez à utiliser la méthode OCTAVE en quatre étapes : établir
des objectifs, profiler les actifs, identifier les menaces et les
vulnérabilités, et analyser et gérer les risques.

Mots clés
Analyse des risques, sécurité des systèmes d’informations, analyse des
risques de sécurité des systèmes d’informations, méthodes d’analyse
des risques.
 Qu’ est-ce que la methode OCTAVE ?

OCTAVE signifie « Operationally Critical Threat, Asset, and

Vulnerability Evaluation ». Il s'agit d'une série de méthodes
d'évaluation et de planification stratégique de la sécurité de
l'information basées sur les risques.

-La méthode OCTAVE se déroule en trois phases.

La phase 1

Dite organisationnelle, durant laquelle les équipes identifient les

actifs importants liés à l'information et la stratégie actuelle de leurs
protections. C'est alors que l'équipe déterminera quels sont les actifs
les plus critiques pour l'organisation, puis documentera les exigences
en matière de sécurité de l'information et identifiera les menaces.

La phase 2

Dite technologique, permet à l'équipe d'analyse d'effectuer une

évaluation d’infrastructure, d'identifier les actifs techniques critiques
et les vulnérabilités techniques qui y sont liées.
La phase 3
Dite d'analyse de risques, permet de mettre en place un plan
d'actions en se basant sur les résultats obtenus lors des deux premières
phases.

Figure I : Les phase d’OCTAVE

 LES VERSIONS D’OCTAVE

Il y a trois versions différentes d'OCTAVE :

1• OCTAVE OCTAVE
Est une technique d'évaluation stratégique et de planification de la
sécurité basée sur les risques. OCTAVE est autogéré, ce qui signifie
que les personnes d'une organisation assument la responsabilité de
définir la stratégie de sécurité de l'organisation. La technique tire parti
des connaissances des personnes sur les pratiques et les processus liés
à la sécurité de leur organisation pour capturer l'état actuel des
pratiques de sécurité au sein de l'organisation. Les risques pour les
actifs les plus critiques sont utilisés pour hiérarchiser les domaines
d'amélioration et définir la stratégie de sécurité pour l'organisation.

2• OCTAVE-S
Est une méthode simplifiée d'analyse de risque lies à la sécurité actifs
critiques d’une entreprise. A été développée pour les petites
entreprises (moins de 100 employés) et suppose que les personnes
chargées de l’évaluation des risques, les exigences de sécurité, les
menaces et les pratiques de sécurité de l’organisation sont connues, et
ils ne nécessitent pas de mener des entrevues, des sondages et des
ateliers Elle se déroule également en trois phases distinctes.
3• OCTAVE Allegro
Qui est une approche simplifiée pour l'évaluation de la sécurité de
l'information.

Comment évaluer et hiérarchiser les risques de sécurité de votre

réseau à l’aide de la méthode OCTAVE ?

1- Établir des objectifs

La première étape de la méthode OCTAVE consiste à établir vos

objectifs pour l’évaluation des risques. Qu’essayez-vous d’accomplir ?
Quels sont vos objectifs et exigences en matière de sécurité ? Qui sont
vos parties prenantes et quelles sont leurs attentes ? Comment
mesurez-vous votre succès et vos progrès ? En définissant vos
objectifs, vous pouvez aligner votre évaluation des risques sur votre
stratégie et vos priorités commerciales et les communiquer clairement
à votre équipe et aux autres parties concernées

2 -Ressources de profil

La deuxième étape de la méthode OCTAVE consiste à profiler vos

actifs, qui sont les ressources qui soutiennent vos objectifs et vos
opérations. Les actifs peuvent être tangibles, tels que le matériel, les
logiciels, les données et les réseaux, ou intangibles, tels que la
réputation, la confiance des clients et la propriété intellectuelle. Vous
devez identifier et catégoriser vos actifs en fonction de leur criticité,
de leur valeur et de leur sensibilité. Quelle est leur importance pour
votre organisation ? Combien perdriez-vous s’ils étaient compromis ?
Quelle est la probabilité qu’ils soient ciblés ou exposés ? En profilant
vos actifs, vous pouvez concentrer votre évaluation des risques sur les
plus importants et les plus vulnérables.

3 Identifier les menaces et les vulnérabilités

La troisième étape de la méthode OCTAVE consiste à identifier les

menaces et les vulnérabilités qui affectent vos actifs. Les menaces
sont les sources de dommages potentiels, tels que les pirates
informatiques, les logiciels malveillants, les catastrophes naturelles ou
les erreurs humaines. Les vulnérabilités sont les faiblesses ou les
lacunes qui permettent aux menaces d’exploiter vos actifs, telles que
des logiciels obsolètes, des paramètres mal configurés ou de
mauvaises pratiques de sécurité. Vous devez analyser et documenter
les types, les sources et la probabilité de menaces et de vulnérabilités
qui présentent un risque pour vos actifs. Comment peuvent-ils avoir
un impact sur vos objectifs et vos opérations ? À quelle fréquence se
produisent-ils ou changent-ils ? Comment pouvez-vous les détecter ou
les prévenir ? En identifiant les menaces et les vulnérabilités, vous
pouvez comprendre les causes profondes et les conséquences de vos
risques.
4-Analyser et gérer les risques

La quatrième et dernière étape de la méthode OCTAVE consiste à

analyser et gérer vos risques. Les risques sont la combinaison de
menaces, de vulnérabilités et d’actifs, ainsi que leur impact sur vos
objectifs et vos opérations. Vous devez évaluer et hiérarchiser vos
risques en fonction de leur gravité, de leur probabilité et de leur
urgence. Quelle est la gravité des dommages ou des pertes potentielles
? Quelle est la probabilité qu’ils se produisent ? Dans combien de
temps faut-il s’y attaquer ? En fonction de votre analyse des risques,
vous pouvez élaborer et mettre en œuvre un plan d’atténuation des
risques qui décrit les mesures, les ressources et les responsabilités
pour réduire ou éliminer vos risques. Comment pouvez-vous protéger
ou récupérer vos actifs ? Comment pouvez-vous surveiller ou
contrôler vos menaces et vulnérabilités ? Comment pouvez-vous
améliorer votre posture de sécurité et vos performances ? En analysant
et en gérant vos risques, vous pouvez améliorer la sécurité et la
résilience de votre réseau.

Caractéristiques clés de l'approche OCTAVE

Créer une stratégie de protection basée sur la pratique pour

l'amélioration de l'organisation ainsi que des plans d'atténuation des
risques pour réduire le risque pour les actifs critiques de
l'organisation§ Évaluer les risques dans un contexte opérationnel,
comment ils sont utilisés pour mener les activités d'une organisation et
comment ces actifs sont menacés en raison de menaces pour la
sécurité § Prendre en compte les relations entre les actifs critiques, les
menaces pesant sur ces actifs et les vulnérabilités (à la fois
organisationnelles et technologiques) qui peuvent exposer les actifs à
des menaces § Concentrer les activités d'analyse des risques sur les
actifs jugés les plus critiques pour l'organisation §Identifier les actifs
liés à l'information (par exemple, l'information et les systèmes) qui
sont importants pour l'organisation.

Etude de Cas

L’université d'Airlangga subit de nombreuses vulnérabilités au niveau

des systèmes informatiques universitaires qui ne peuvent pas être
atténuées correctement, comme en témoigne le piratage continu des
systèmes informatiques universitaires. Il montre que les résultats des
tests de piratage sur les systèmes informatiques universitaires ne sont
pas identifiés plus en détail et ne sont pas inclus dans la gestion des
risques universitaires L’université veut construire un cadre
universitaire de gestion des risques de sécurité de l'information en
utilisant la méthode OCTAVE, il aura besoin Architecture réseaux
de l’université et Identification de l’actif le calcul de la valeur est
basé sur la CIA (confidentialité, intégrité et disponibilité).
 C O NC L U S I O N

OCTAVE est dédié aux méthodes de gestion des risques. Il en

existe un très grand nombre et cela peut être source de confusion. Pour
rappel, les normes ISO n’imposent en aucun cas une méthode à suivre.
L’organisation est libre de sélectionner une méthode, ou de créer et
suivre sa propre méthode.

A VOUS LES AMIES DE FAIRES LES CADRES DES

PAGES et des numéros des pages