La triade de la CIA - Confidentialité, intégrité et disponibilité expliquées

La confidentialité, l'intégrité et la disponibilité ou la triade CIA est le concept le plus fondamental de la cybersécurité. Il sert de principes directeurs ou d'objectifs pour la sécurité de l'information pour les organisations et les individus afin de protéger les informations des regards indiscrets.

Confidentialité

La confidentialité consiste à garantir que l'accès aux données est limité uniquement au public visé et pas aux autres. Comme vous vous en doutez, plus les informations sont sensibles, plus les mesures de sécurité doivent être strictes. De nombreuses lois sur la confidentialité reposent sur des contrôles de sécurité de confidentialité pour faire appliquer les exigences légales.

Certaines mesures pour garder les informations confidentielles sont:

  • Chiffrement
  • Mot de passe
  • Authentification à deux facteurs
  • Biométrique
  • Jetons de sécurité

Intégrité

L'intégrité fait référence au maintien de l'exactitude et de l'exhaustivité des données. En d'autres termes, il s'agit de protéger les données contre toute modification par des parties non autorisées, accidentellement par des parties autorisées ou par des événements non d'origine humaine tels que des impulsions électromagnétiques ou une panne de serveur. Par exemple, un pirate informatique peut intercepter des données et les modifier avant de les envoyer au destinataire prévu.

Les mesures visant à maintenir l'intégrité des informations comprennent:

  • Chiffrement
  • Hashing
  • Contrôles d'accès utilisateur
  • Sommes de contrôle
  • Contrôle de version
  • Sauvegardes

Disponibilité

Enfin, les informations doivent être disponibles quand elles sont nécessaires. Pour garantir une haute disponibilité des données, vous devez maintenir un matériel et des logiciels fonctionnant correctement et fournir une bande passante adéquate. Mais ces mesures à elles seules ne suffisent pas car des forces extérieures sont en jeu; la disponibilité des données peut en outre être compromise par:

  • Déni de service (DoS)
  • Des pannes de courant
  • Catastrophes naturelles

DoS, par exemple, pourrait être utilisé par une entreprise rivale pour casser votre site Web afin que son propre site Web devienne plus populaire.

Les mesures visant à atténuer les menaces à la disponibilité comprennent:

  • Sauvegardes hors site
  • Reprise après sinistre
  • Redondance
  • Basculement
  • RAID
  • Clusters à haute disponibilité

Défis pour la triade de la CIA

Les mégadonnées sont particulièrement difficiles pour le paradigme de la CIA en raison de la quantité toujours croissante de données à sauvegarder. À mesure que la technologie progresse, de plus en plus d'appareils s'ajoutent au flux croissant de données dans une variété de formats différents. De plus, comme l'objectif principal du traitement des mégadonnées est souvent de collecter et d'interpréter toutes les informations, une surveillance responsable peut être une préoccupation secondaire.

La confidentialité et la sécurité de l'Internet des objets sont particulièrement difficiles. Chaque année, de plus en plus d'appareils connectés à Internet sont disponibles sur le marché, qui peuvent ne pas être corrigés ou utiliser des mots de passe faibles. Bien que de nombreux appareils ne transmettent pas d'informations particulièrement sensibles, il est possible qu'un attaquant collecte suffisamment d'informations à partir de chaque point de terminaison, les analyse et potentiellement révèle des informations que vous préférez garder privées.

Outre la triade CIA, il existe également d'autres thèmes fréquemment récurrents en matière de sécurité de l'information:

  • non-répudiation: assurance que quelqu'un / quelque chose ne peut pas nier quelque chose (par exemple, on ne peut pas nier l'authenticité d'une signature numérique)
  • authentification: prouver qu'une personne est bien celle qu'elle prétend être
  • fiabilité: confiance que l'on peut dépendre d'un système ou d'un processus
  • vie privée: une contrepartie généralisée de la confidentialité qui aborde également la conséquence sociale du non-respect de l'exigence