Les 4 piliers de la sécurité

La norme ISO/IEC 27001 définit trois piliers clés : Confidentialité : Protéger l’accès aux informations Intégrité : Garantir l’exactitude et la fiabilité des données Disponibilité : Assurer un accès continu aux ressources.

Aujourd’hui, un quatrième pilier devient essentiel : la Traçabilité, qui permet d’identifier qui fait quoi, quand et comment sur un système.

1. La confidentialité : empêcher les accès non autorisés La confidentialité garantit que seules les personnes autorisées ont accès aux informations.

Protéger les données sensibles est essentiel pour éviter les fuites d’informations stratégiques ou personnelles.

Dans une entreprise : Un employé ne doit pas pouvoir accéder aux fiches de paie de ses collègues.

Une solution : mettre en place un système de gestion des droits d’accès.

Dans un hôpital : Seuls les médecins traitants doivent pouvoir consulter les dossiers médicaux des patients.

L’utilisation de cartes à puce et d’authentification à deux facteurs (MFA) est une solution efficace.

Dans une banque : Les données bancaires des clients doivent être chiffrées pour éviter qu’un pirate puisse intercepter un virement frauduleusement.

Comment assurer la confidentialité ? ✔️ Chiffrement des données (AES-256, TLS, VPN)✔️ Contrôle d’accès (IAM, MFA, politique des moindres privilèges)✔️ Sécurisation des réseaux (pare-feu, segmentation, VPN)

2. L’intégrité : assurer des données exactes et non modifiées L’intégrité signifie que les informations ne doivent pas être altérées, volontairement ou accidentellement, sans autorisation.

Cela permet d’éviter la propagation de fausses informations ou la corruption de données.

Dans une entreprise de logistique : Un livreur ne peut pas modifier les stocks à son avantage.

Une solution : l’utilisation de bases de données protégées contre les modifications non autorisées.

Dans un laboratoire pharmaceutique : Les résultats d’analyses médicales ne doivent pas être altérés entre leur production et leur transmission au médecin.

L’utilisation de signatures électroniques garantit l’authenticité.

Dans une administration fiscale : Une fraude pourrait consister à modifier les montants d’impôts dus.

L’horodatage et la journalisation des modifications permettent de prévenir et détecter ces tentatives.

Comment assurer l’intégrité ? ✔️ Mécanismes de hachage (SHA-256 pour vérifier qu’un fichier n’a pas été modifié)✔️ Signature électronique (pour garantir l’authenticité d’un document)✔️ Contrôles d’accès et permissions strictes (lecture seule, immuabilité)

3. La disponibilité : assurer un accès continu aux services La disponibilité garantit que les informations et systèmes sont accessibles en permanence aux utilisateurs autorisés, même en cas de panne ou d’attaque.

Dans une boutique e-commerce : Si le site plante lors du Black Friday, des milliers de ventes peuvent être perdues.

Une solution : héberger le site sur un cloud avec redondance des serveurs.

Dans un hôpital : Un médecin doit accéder au dossier patient immédiatement en cas d’urgence.

Des systèmes de secours et de sauvegardes garantissent l’accès même en cas de panne.

Dans une banque : Une attaque DDoS pourrait rendre un service de paiement indisponible.

La mise en place d’un pare-feu anti-DDoS et de serveurs de secours permet d’éviter cela.

Comment assurer la disponibilité ? ✔️ Sauvegardes régulières (PRA/PCA pour redémarrer rapidement après un incident)✔️ Plans de reprise d’activité (cloud, redondance des serveurs)✔️ Protection contre les cyberattaques (mitigation DDoS, surveillance 24/7)

4. La traçabilité : savoir qui fait quoi, quand et comment La traçabilité permet de surveiller, enregistrer et analyser toutes les actions effectuées sur un système d’information.

Elle est essentielle pour identifier les menaces internes et détecter les incidents de sécurité.

Dans une entreprise : Un employé tente d’accéder à un fichier confidentiel sans y être autorisé.

Grâce aux journaux d’accès, l’incident est détecté et l’accès est bloqué.

Dans un centre de recherche : Un chercheur publie un article scientifique contenant des données protégées.

Un contrôle des versions et des logs permet de retrouver l’auteur et de sécuriser les fichiers.

Dans une banque : Un pirate essaye de modifier des transactions.

Un système SIEM (Security Information and Event Management) détecte une activité inhabituelle et déclenche une alerte.

Comment assurer la traçabilité ? ✔️ Journaux d’événements (logs) pour enregistrer toutes les actions critiques✔️ Surveillance des accès et des connexions (SIEM, alertes en temps réel)✔️ Audit et conformité (ISO 27001, RGPD, PCI-DSS)

Conclusion : un cadre essentiel pour la cybersécurité La sécurité de l’information repose désormais sur quatre piliers fondamentaux : ✅ Confidentialité : protéger l’accès aux informations sensibles✅ Intégrité : garantir que les données sont exactes et non altérées✅ Disponibilité : assurer un accès continu aux systèmes et services✅ Traçabilité : enregistrer et surveiller les activités pour détecter et prévenir les incidents

none

Pour faciliter la mise en place d’une politique de sécurité informatique efficace au sein de son entreprise, les gestionnaires et responsables doivent respecter quatre critères fondamentaux : La Confidentialité. Une information doit être rendue inintelligible auprès des personnes non autorisées. Ainsi, plus une information est « sensible », plus la liste des personnes autorisées à la consulter sera réduite. Il est également évident qu’une personne qui a le droit d’accéder à une information ne la transmette pas à un tiers non autorisé. C’est à ce moment que la sensibilisation des utilisateurs entre en jeu : ces derniers doivent toujours être vigilants avant de transmettre une information, qu’elle soit sensible ou non. Ce principe de confidentialité peut être lié à celui de l’authentification : en effet, seuls les individus disposant des autorisations requises peuvent avoir accès aux données du système d’information.

L’Intégrité. Lorsque l’on consulte une information, il faut s’assurer que c’est bien celle que l’on croît être. De plus, si une information venait à être modifiée, celle-ci doit l’être par une personne autorisée et selon un procédé défini.

La Disponibilité. Il s’agit principalement de maintenir le système d’information fonctionnel. En d’autres termes, les informations doivent être consultables et utilisables par le destinataire autorisé à l’endroit et à l’heure prévue. Cette disponibilité peut être assortie de plusieurs conditions (connexion aux heures de bureau, connexion possible uniquement dans un endroit sécurisé etc.), qui deviennent de plus en plus précises et contrôlées en fonction du degré d’importance et de nécessité de l’information souhaitée.

La Traçabilité. Grâce à ce critère, nous pouvons suivre l’état ainsi que les mouvements d’une information. Sans traçabilité, nous n’avons aucune garantie concernant le respect des trois précédents critères.

La structuration des mesures de sécurité selon ce cadre est recommandée par l’ANSSI pour l’ensemble des organisations. Par ailleurs, ce cadre est obligatoire pour les opérateurs régulés par la Loi de Programmation militaire (LPM) et la Directive NIS.

Gouvernance La gouvernance du risque numérique a pour objectifs d’anticiper la menace, de suivre le niveau de sécurité et de renforcer en continu un dispositif adapté. Elle s’inscrit dans une démarche continue et doit trouver sa place dans le fonctionnement habituel de l’organisation. Elle est pilotée par un comité des risques numériques. Son objectif est de mettre en œuvre la stratégie de sécurité numérique en s’appuyant sur une connaissance actualisée de la menace cyber qui pèse sur les activités de l’organisation. Les activités de gouvernances englobent les thématiques suivantes : Cadre de maîtrise du risque (stratégie de sécurité, organisation de management du risque et d’amélioration continue, cartographie des systèmes et services, processus d’intégration de la sécurité dans les projets) ; Maîtrise de l’écosystème (clauses de sécurité dans les contrats de sous-traitances, sécurité des processus de développement et d’acquisition) ; Veille sur les vulnérabilités et les menaces ; Evaluation et suivi du niveau de sécurité (audits et contrôles internes, indicateurs de pilotage de la performance numérique) ; Gestion du facteur humain (sensibilisations, entraînements).

Protection Les mesures ou actions de protection permettent de se prémunir contre les attaques en rendant le SI et son écosystème les moins vulnérables et exposés possibles. Ce pilier a pour vocation à réduire une surface d’attaque et englobe notamment les thématiques suivantes : Sécurité de l'architecture du SI (Configuration des systèmes, Cloisonnement, Accès distant, Filtrage, Gestion des entrées/sorties de données et des supports amovibles, Sécurité des passerelles d’interconnexion) ; Protection  des  données  (intégrité,  confidentialité,  gestion  des  clés  cryptographiques) ; Sécurité de l'administration des SI (administration, supervision) ; Gestion des identités et des accès (Identification, Authentification, contrôle d’accès) ; Maintien en conditions de sécurité et gestion d’obsolescence ; Sécurité physique et environnementale (Sécurité vis-à-vis des signaux parasites compromettants).

Défense La défense répond à la nécessité d’orienter la détection des incidents numériques et d’anticiper la réponse d’une organisation. En pratique il s’agit de concevoir une capacité de supervision de la sécurité (SOC) dans laquelle  seront enrôlés les systèmes d’information. Cette capacité doit également s’intégrer avec un dispositif de CSIRT/CERT pour assurer la remédiation, ainsi que la connaissance de la menace et des vulnérabilités. Cela structure la chaine de réponse aux incidents de sécurité, de la détection à la remédiation. L’orientation de la défense repose sur l’élaboration d’une stratégie de supervision, issue de l’analyse de risque, qui intègre les enjeux métiers en complément de la prise en compte des problématiques techniques. Ce pilier englobe notamment les thématiques suivantes : Capteurs (sondes, journalisation) ; Détection (classification, corrélation et analyse des journaux, stratégie de supervision) ; Gestion des incidents (traitement des alertes, qualification, réponse aux incidents).

Résilience Ce volet concerne la continuité d’activité avec un niveau de dégradation tolérable en cas de crise, puis la reprise nominale progressive pour minimiser les impacts stratégiques et métiers. La bascule dans un mode de crise dépend d’effets de seuils qui sont propres à chaque organisation, selon son niveau de préparation. Ce pilier englobe notamment les thématiques suivantes : Continuité  d’activité  (sauvegarde  et  restauration,  gestion  des  modes  dégradés) ; Gestion de crise cyber (préparation, entrainement, dispositif de crise, plans, RETEX) ; Reprise  d’activité.