CIA triad
Le professionnel du risque peut trouver utile d’évaluer un système d’information ou une source de données selon sa confidentialité, intégrité et disponibilité (CID), les trois principes dont découlent les autres caractéristiques de la sécurité de l’information. En considérant ces informations et ces systèmes selon ce modèle, il devient plus facile d’identifier si un compromis ou une défaillance dans un ou plusieurs de ces domaines affecterait l’entreprise, et de quelle manière. Aux fins de l’identification des risques, il suffit de signaler qu’un impact peut se produire lors de l’évaluation.
La confidentialité concerne le secret et la vie privée des données. Ainsi, une atteinte à la confidentialité signifie une divulgation inappropriée d’informations, comme leur communication à un destinataire interne ou externe non autorisé à y accéder. La confidentialité est souvent comprise en termes de nécessité de protéger des secrets militaires classifiés ou d’autres catégories d’informations sensibles, telles que les données personnelles, les informations de santé, la propriété intellectuelle ou encore d’autres types de données spécifiques protégées par la loi et la réglementation. Cependant, le principe fondamental de la confidentialité est de garantir qu’aucune divulgation n’ait lieu auprès de destinataires n’ayant pas reçu d’autorisation de la part du propriétaire de l’information.
L’intégrité se réfère à la protection contre la modification, la suppression ou la destruction inappropriée de l’information, et concerne aussi bien les mesures prises par des utilisateurs autorisés ou non autorisés que les processus et activités opérant dans le système. Chaque fois que des données sont modifiées d’une manière différente de celle prévue par leur propriétaire, l’intégrité est compromise.
La disponibilité consiste à fournir un accès fiable et en temps voulu à l’information. L’accès ponctuel aux données est souvent essentiel dans les processus métiers, et dans certains cas — tels que les systèmes de contrôle industriel qui pilotent des machines ou régulent la production d’énergie — une disponibilité quasi en temps réel peut s’avérer indispensable pour la sécurité et le bon fonctionnement du système.
Dans les systèmes d’information, l’activité est souvent anonyme ou ne peut être reliée que faiblement à un individu ou un processus particulier. La notion de non-répudiation correspond à une garantie positive qu’une action donnée a bien été effectuée par un individu ou un processus. Elle constitue une dimension essentielle de la traçabilité des responsabilités et du respect de l’obligation de rendre compte.
Enfin, de nombreuses entreprises utilisent une forme d’évaluation des objectifs et d’acceptation formelle des risques associés à l’installation et au fonctionnement des systèmes d’information. Cela conduit à une autorisation explicite et préalable du système avant qu’il ne soit mis en service.
Votre entreprise applique-t-elle le modèle CID (Confidentialité, Intégrité, Disponibilité) ?
La confidentialité concerne le secret et la vie privée des données. Ainsi, une atteinte à la confidentialité signifie une divulgation inappropriée d’informations, comme leur communication à un destinataire interne ou externe non autorisé à y accéder. La confidentialité est souvent comprise en termes de nécessité de protéger des secrets militaires classifiés ou d’autres catégories d’informations sensibles, telles que les données personnelles, les informations de santé, la propriété intellectuelle ou encore d’autres types de données spécifiques protégées par la loi et la réglementation. Cependant, le principe fondamental de la confidentialité est de garantir qu’aucune divulgation n’ait lieu auprès de destinataires n’ayant pas reçu d’autorisation de la part du propriétaire de l’information.
L’intégrité se réfère à la protection contre la modification, la suppression ou la destruction inappropriée de l’information, et concerne aussi bien les mesures prises par des utilisateurs autorisés ou non autorisés que les processus et activités opérant dans le système. Chaque fois que des données sont modifiées d’une manière différente de celle prévue par leur propriétaire, l’intégrité est compromise.
La disponibilité consiste à fournir un accès fiable et en temps voulu à l’information. L’accès ponctuel aux données est souvent essentiel dans les processus métiers, et dans certains cas — tels que les systèmes de contrôle industriel qui pilotent des machines ou régulent la production d’énergie — une disponibilité quasi en temps réel peut s’avérer indispensable pour la sécurité et le bon fonctionnement du système.
Dans les systèmes d’information, l’activité est souvent anonyme ou ne peut être reliée que faiblement à un individu ou un processus particulier. La notion de non-répudiation correspond à une garantie positive qu’une action donnée a bien été effectuée par un individu ou un processus. Elle constitue une dimension essentielle de la traçabilité des responsabilités et du respect de l’obligation de rendre compte.
Enfin, de nombreuses entreprises utilisent une forme d’évaluation des objectifs et d’acceptation formelle des risques associés à l’installation et au fonctionnement des systèmes d’information. Cela conduit à une autorisation explicite et préalable du système avant qu’il ne soit mis en service.
Votre entreprise applique-t-elle le modèle CID (Confidentialité, Intégrité, Disponibilité) ?
Commentaires
Enregistrer un commentaire