sécurité et confidentialité
Nouveau Message
sécurité et confidentialité
Vous avez probablement déjà entendu parler de la
« CIA » dans les journaux, au cinéma ou dans d’autres médias. Lorsque l’on pense à la « CIA », la première chose qui nous vient à l’esprit est probablement l’agence de renseignement américaine. Cependant, la CIA en matière de cybersécurité n’a rien à voir avec l’agence de renseignement.
En matière de cybersécurité, CIA signifie simplement : Confidentialité, Intégrité et Disponibilité. On l'appelle également la Triade CIA.
La triade CIA est un modèle que les organisations utilisent pour évaluer leurs capacités de sécurité et les risques qu'elles courent.
La protection de la confidentialité peut commencer par la définition et le contrôle des niveaux d'accès aux informations en interne et en externe. Par exemple, les personnes qui travaillent dans le service informatique et qui n'interagissent généralement pas avec les clients et les prospects ne devraient pas avoir accès aux informations des clients. Si une personne n'a pas besoin d'un type d'information pour effectuer son travail, elle ne devrait pas avoir accès à cette information.
Lorsque l’accessibilité des données est limitée, vous réduisez considérablement les risques de fuite accidentelle ou intentionnelle d’informations.
Les exemples de risques de confidentialité incluent les violations de données causées par des criminels, les initiés qui accèdent et/ou partagent des informations de manière inappropriée, et la diffusion accidentelle d’informations sensibles à un public trop large.
L'intégrité signifie que les données ou les informations de votre système sont conservées de manière à ce qu'elles ne soient pas modifiées ou supprimées par des tiers non autorisés. Il s'agit d'un élément important de l'hygiène, de la fiabilité et de l'exactitude des données.
Les exemples d’attaques contre l’intégrité incluent les attaques frauduleuses par courrier électronique (qui compromettent l’intégrité des communications), la fraude financière et le détournement de fonds par modification des dossiers financiers, voire des attaques comme Stuxnet qui ont impacté l’intégrité des flux de données des systèmes de contrôle industriel et provoqué des dommages physiques.
Le dernier élément de la triade CIA est la disponibilité. Cela signifie que les systèmes et les données sont accessibles aux personnes lorsqu'elles en ont besoin, quelles que soient les circonstances, y compris en cas de panne de courant ou de catastrophe naturelle.
Sans disponibilité, même si vous avez satisfait aux deux autres exigences de la triade CIA, votre entreprise peut être affectée négativement.
Pour garantir la disponibilité, votre organisation peut utiliser des réseaux, des serveurs et des applications redondants. Ceux-ci peuvent être programmés pour devenir disponibles lorsque le système principal tombe en panne. Outre la mise en place de sauvegardes, la conception de l'architecture informatique joue également un rôle clé. Par exemple, si la haute disponibilité est un élément de vos systèmes informatiques, vous pouvez maintenir un certain niveau de performance opérationnelle pendant une période prolongée, même dans des circonstances inattendues.
Les exemples d'attaques sur la disponibilité incluent les attaques par déni de service, les ransomwares (qui cryptent les données et les fichiers du système afin qu'ils ne soient pas accessibles aux utilisateurs légitimes), voire les attaques de type swatting qui peuvent interrompre les opérations commerciales.