Et si on parlait CIA ? Non, pas la Central Intelligence Agency du gouvernement US mais la triade C.I.A : Confidentiality(Confidentialité), Integrity(Intégrité), Availability(disponibilité).
Les grands principes avec lesquels on va définir la stratégie de sécurité du système d’information.
Confidentialité : garantir que seul les entités autorisées ont accès à une ressource. Les illustrations les plus évidentes sont, par exemple, un dossier partagé entre des personnes biens précises ou encore le cryptage de données. Lorsque vous chiffrez une conversation entre deux personnes, vous garantissez (dans un monde parfait, car la réalité n’est pas si simple) qu’une tierce personne, même si elle intercepte les messages, ne puisse pas les comprendre.
Intégrité : garantir l’authenticité d’une ressource/donnée. En d’autres termes empêcher que des modifications non-souhaitées ne puissent être faites. Par exemple, la tentative de modification par un tiers non-autorisé dans le but de nuire à l’entreprise ou encore contre les modifications non-voulues d’un acteur légitime(erreur)
Disponibilité: garantir, a tout moment, l’accessibilité par les entités autorisées aux ressources avec lesquelles ils sont habilités a interagir.
L’équilibre entre ces trois grands fondements est essentiel pourtant, selon le contexte, certaines organisations vont prioriser l’une à l’autre.
Pour exemple, si je possède un site d’information en continu, il faudra absolument que celui-ci soit accessible 24/7 sans dégradation. Mais aussi que l’information qui y est lisible soit celle que nous avons déposée. Intégrité et disponibilité seront donc les principes où j’investirai le plus d’énergie. Cependant, si ma plateforme possède une interface permettant aux éditeurs/créateurs de contenus de déposer leur travail, il reste important qu’ils puissent transférer leur données sans qu’une tierce personne(un concurrent par exemple) ne puisse voir, intercepter ou voler ce qu’ils ont écrit car dans le cas d’un scoop on peut facilement imaginer le manque à gagner.
J’ai toujours appliqué ces principes sans pour autant mettre réellement du vocabulaire structuré sur ces derniers. Je suis donc assez satisfait de pourvoir le faire maintenant.
En outre ceci, J’ai beaucoup appris avec ce premier chapitre consacré à la gouvernance de la sécurité à travers les principes et les politiques notamment sur les schémas de classification des menaces
Aller ! On continue…
Olivier CAFÉ 