La triade de la sécurité de l’information vue par le RSSI

On parlait dans le billet La triade de la sécurité de l’information des 3 caractéristiques fondamentales de la sécurité de l’information (Confidentialité, Intégrité, Disponibilité) et notions que ces aspects n’avaient pas la même importance pour les directions métiers.

Prenons maintenant le point de vue technique de la DSI qui doit assurer, c’est son rôle et sa responsabilité, la sécurité de ces informations.

  • Pour la disponibilité, il suffit de mettre en place un outil capable de mesurer la durée pendant laquelle la donnée (ou l’application gérant cette donnée) est disponible et de la comparer avec la durée souhaitée. Exprimé en pourcentage, on parle de disponibilité à 5 neuf, soit 99,999%. Dans le monde de l’externalisation, c’est une proposition de valeur clé des fournisseurs. Et les utilisateurs peuvent la mesurer et donc vérifier que la disponibilité annoncée est réelle.
  • Pour l’intégrité, il suffit, par exemple, d’ajouter une empreinte par hachage ou un code d’authentification de message lors de la transmission. A la réception, la donnée est validée par rapport à son empreinte ou son code.
  • Pour la confidentialité, les choses se gâtent. En effet, la confidentialité ne peut être vérifiée. Il est impossible de savoir si une tierce personne autorisé ou non, interne ou externe, a pu accéder aux données ou les a copiées. On a vu que même cryptée, la confidentialité des données échangées n’est pas garantie (Dans l’affaire PRISM, la NSA utiliserait une porte dérobée dans l’algorithme de chiffrement). Même si les données sont chiffrées à l'aide d'un algorithme puissant, l'implémentation de celui-ci peut présenter des défauts logiciels, ou la clef peut être révélée ou acquise de manière secrète.

Si on ajoute à ce problème, la dimension Cloud ou l’ensemble de l’infrastructure est déportée sur les nuages, le problème et la gestion du risque associé devient …. complexe.