Alors, qu’est-ce que la triade CIA ? Non, on ne parle pas de l’agence de renseignement américaine, c’est cool, mais peut-être pas autant. La triade CIA, c’est un modèle qui est super important dans le monde de la cybersécurité, et tu vas souvent en entendre parler si tu veux travailler dedans. C’est un modèle de sécurité de l’information qui est constituée de trois principes :
- Confidentialité (Confidentiality)
- Intégrité (Integrity)
- Disponibilité (Availability)
Je le rappelle, mais tu as intérêt à suivre cet article (comme tous les autres d’ailleurs) parce que la triade CIA, c’est vraiment un concept de base dans la cybersécurité.
Tu as sûrement déjà dû regarder des films d’espion avec des documents notés « Confidentiel« . Si oui, tu as certainement déjà une petite idée de ce que signifie la confidentialité. On va quand même explorer le terme un petit plus en profondeur parce que c’est un concept fondamental. Dans notre contexte, on dit qu’une information est confidentielle si elle n’est accessible que par des personnes autorisées. Aussi, logiquement, plus une information est confidentielle, moins il n’y a de personnes autorisées à y accéder.
Il existe plusieurs moyens de garantir la confidentialité des données, c’est-à-dire, de faire en sorte que les données ne soient bien accessibles que par les personnes autorisées, et personne d’autres. Par exemple :
- Chiffrement : C’est comme si tu traduisais ton texte dans une langue que tu avais inventé avec tes amis. Vous seriez les seuls à pouvoir le déchiffrer.
- Mot de passe : Je sais même pas si je devrais le définir, mais bon… 🤨 C’est une combinaison de caractères qui va te servir de clé pour accéder à tes données.
- Authentification multifactorielle ou MFA : C’est une méthode qui consiste à te demander plusieurs formes d’identification pour accéder à tes données. Tu as déjà dû avoir affaire à des applications qui te demandent à la fois un mot de passe et à la fois un code reçu par SMS.
L’intégrité, c’est le fait de s’assurer que les données sont fiables et correctes. En gros, on veut que nos données racontent la vérité et que personne ne les ait modifiés. C’est super important hein ! Imagine-toi en train de commander un livre sur Internet qui t’affiche un prix de 10 €. Ce serait quand même assez embêtant de voir quelques jours plus tard qu’on t’a en fait prélevé 100 € sur ton compte en banque. Ou sinon, imaginons que tu fasses un virement pour un ami. Il serait alors terrible qu’un hacker change les coordonnées bancaires de ton virement sans que tu t’en rendes compte !
Il faut faire assez attention avec l’intégrité. Même si la plupart du temps, c’est un attaquant qui compromet l’intégrité de façon totalement intentionnelle. Il arrive aussi parfois que ce soit simplement un accident. Ça arrive à tout le monde de faire une faute de frappe ou d’oublier une virgule.
Afin d’assurer l’intégrité des données, donc de bien faire en sorte que personne n’ait modifié nos données, on peut utiliser diverses solutions comme :
- Signature numérique : Hum, c’est assez complexe 🤔, mais disons grosso modo que c’est le même principe qu’une signature, tu signes la donnée pour qu’on sache que ça vient bien de toi.
- Contrôle de modifications : C’est un système qui enregistre toutes les modifications et identifie qui les a faites. C’est comme si on te forçait à signer à chaque fois que tu voulais modifier un document.
- Sauvegardes : Tu fais des copies de tes données que tu vas stocker autre part. De cette manière, si quelqu’un modifie quoi que ce soit, tu pourras toujours récupérer ce que t’avait sauvegardé.
C’est bien beau d’assurer la confidentialité et l’intégrité de nos données, mais à quoi bon si on n’y a pas accès hein ? La disponibilité, c’est le fait de s’assurer que les gens qui ont les bons accès puissent accéder à leurs données sans problème. En gros, il faut que le système marche quoi. Il y a pleins de raisons qui peuvent compromettre la disponibilité des données : une panne de courant, un bug logiciel, ou même une attaque DDoS. Tu as surement déjà essayé de te connecter à une application, mais qui ne répondait plus. Dans ce cas de figure, on peut dire que la disponibilité de l’application a été compromise.
Encore une fois, il y a plusieurs manières de garantir la disponibilité des données :
- Redondance des serveurs : C’est un principe qui consiste à faire en sorte que tu aies plusieurs serveurs qui font la même chose. C’est une espèce de plan B. Si le premier tombe en panne, tu peux directement utiliser le deuxième ! Pratique, nan ? 😜
- Sauvegardes : Eh oui, les principes sont reliés donc il existe des solutions qui permettent de garantir plusieurs principes de la triade en même temps ! Ici, une sauvegarde de tes données va te permettre de pouvoir les utiliser au cas où tes données ont disparu ou ne sont plus accessibles. C’est vraiment la même principe qu’une sauvegarde dans un jeux-vidéo. J’aurais un peu la flemme de recommencer tout le jeu si mon personnage meurt…
Maintenant qu’on a vu ce qu’était la triade CIA, j’imagine que tu te demandes à quoi ça pourrait servir concrètement ? Eh bien, la triade CIA, c’est un peu comme une checklist ! Les entreprises utilisent ce concept pour avoir évalué leurs procédures et leurs outils de sécurité. Pour qu’on puisse se dire qu’un système est bien sécurisé, on va se demander s’il répond bien aux exigences de ces trois critères : confidentialité, intégrité, disponibilité. Si un seul manque à l’appel, c’est mort, le système n’est pas assez sécurisé !
Avec cette checklist, on peut sécuriser un système dès sa conception, c’est ce qu’on appelle le « Security by design » ! Mais on peut aussi l’utiliser pour évaluer ce qu’il s’est mal passé. Par exemple, si on se prend une attaque, on peut se demander quel principe de la triade a été violé. Par conséquent, ça revient à se dire « quel principe de la triade, je dois encore améliorer ? »
Voilà ! Maintenant, tu sais ce qu’est la triade CIA ! Si tu as des questions, n’hésite pas à les poser dans l’espace commentaire que tu peux retrouver juste en dessous ! J’imagine que le domaine t’intéresse si tu es arrivé jusque-là. Je t’invite donc à lire d’autres articles que tu peux retrouver sur mon site ! À bientôt !😉
Article clair, intéressant et accessible ! Toujours un plaisir à lire 🙂