Lolokai – Supervision, systèmes, réseaux, base de données…

1

Les principes de la sécurité informatique

Loic FONTAINE 16 mai 2011

La sécurité repose sur 3 principes fondamentaux, regroupé au sein de la triade : C.I.A (Confidentiality, Integrity and Availability ; en français : Confidentialité, Intégrité et Disponibilité). L’opposé de cette triade est : D.A.D (Disclosure, Alteration, Denial).

Les principes fondamentaux

La confidentialité

La confidentialité est le fait de s’assurer qu’une information est accessible uniquement par les entités qui ont le droit d’accéder à celle-ci.
Dans le cadre où nous avons à faire à des données sensibles (données de l’armée, gouvernementales etc…) ce principe est souvent respecté.

Il est important de respecter ce principe, imaginez qu’un tiers arrive à obtenir la liste des cartes bancaires des clients d’une banque… Cela peut être extrêmement dommageable pour la banque ainsi que pour les clients.

L’intégrité

L’intégrité s’assure que la donnée reste toujours intègre c’est-à-dire qu’elle n’a pas été modifiée par un tiers non autorisé. Ce principe devra être respecté tout au long de la vie de l’information. Garantir l’intégrité d’une donnée, c’est garantir que la donnée est restée fiable depuis sa création.

Prenons le cas où un hacker arrive à s’introduire sur les comptes bancaires des clients d’une grande banque et dérobe de l’argent, il y a alors altération de la donnée ainsi qu’un préjudice financier (plus ou moins important suivant l’importance de l’attaque) pour la banque.

La disponibilité

La disponibilité est le fait de s’assurer que l’information soit toujours disponible peu importe le moment choisit.

Taux de disponibilité

Temps d’indisponibilité sur un an

90%

36 jours, 12 heures

98%

7 jours

99%

3 jours, 15 heures

99,9%

8 heures, 48 minutes

99,99%

53 minutes

99,999%

5 minutes

On pourrait penser qu’un taux de disponibilité de 99% sur une année serait satisfaisant, mais cela représente quand même 3 jours et 15 heures d’indisponibilité. C’est pourquoi, nous pouvons commencer à trouver acceptable un taux de disponibilité de 99,99% sur un an.

Vous êtes une société de e-commerce et votre chiffre d’affaire découle directement de vos ventes en ligne. Toutes les minutes vous réalisez 500 000 euro de chiffre d’affaire. Imaginez le manque à gagner lorsque votre site internet devient inaccessible pendant quelques minutes.

Les principes complémentaires

La triade C.I.A regroupe les 3 principes fondamentaux, cependant 3 autres principes viennent s’ajouter à ceux-là : l’authenticité, l’anti-rejeu et la non-répudiation.

L’Authenticité

Au sein d’un système d’information, il est important de vérifier l’authenticité de chaque ressource. Cela est possible grâce au mécanisme d’authentification, qui permet de prouver l’identité d’une personne via le processus d’identification. Une authentification est qualifiée de « forte » lorsqu’au moins deux contrôles interviennent  dans le processus d’identification.
Par exemple, une authentification forte serait de vérifier une identité avec un lecteur de carte à puce ainsi qu’avec un scanner biométrique.

L’anti-rejeu

L’anti-rejeu permet d’éviter de rejouer une action ou une série d’actions survenue sur le système d’information. Le terme « rejouer » signifie réutiliser une ressource afin d’obtenir les mêmes résultats qu’une action précédente.
Par exemple, une personne malintentionnée qui renvoi une séquence de connexion d’un utilisateur vers un serveur ferait du rejeu de paquet, ce qui lui permettra d’avoir à son tour accès au serveur avec les droits de l’utilisateur.

Non-répudiation

La non-répudiation se base sur un principe simple : une entité ne peut nier son implication dans une action à laquelle il a participé.
Ce principe peut être respecté via différent mécanismes : les signatures numériques, un système d’accounting (log des actions faites….). Le but de la non-répudiation est de contrôler chaque action faites sur un réseau afin de savoir quelle entité est à l’origine d’une action et/ou d’une défaillance sur le système d’information.Loic FONTAINE

Comments (1)

  1. Pingback: Les principes de la sécurité par FONTAINE Loïc

Laisser un commentaire

Login to your account

Can't remember your Password ?

Register for this site!