CIA Triad : les trois piliers de la sécurité
Mise à jour :
Chiffrer des données protège leur confidentialité, mais pas leur disponibilité : si la clé est perdue, les données sont inaccessibles. Bloquer tous les accès protège contre les intrusions, mais empêche aussi les utilisateurs légitimes de travailler. La CIA Triad rappelle qu’un système sécurisé doit équilibrer trois propriétés : confidentialité, intégrité et disponibilité.
En résumé : La CIA Triad définit les trois objectifs fondamentaux de la sécurité informatique. Chaque mesure de protection vise à renforcer au moins l’un de ces piliers. L’enjeu est de les équilibrer selon le contexte métier.
L’erreur de la protection partielle
Une erreur fréquente consiste à se focaliser sur un seul pilier en négligeant les autres.
Exemples de raisonnements dangereux :
- “Les données sont chiffrées, elles sont sécurisées” (confidentialité seule)
- “On a des sauvegardes, on est protégé” (disponibilité seule)
- “On vérifie les signatures, c’est bon” (intégrité seule)
- “Le système est ultra-sécurisé” (mais personne ne peut y accéder)
- “Tout le monde peut travailler facilement” (mais sans contrôle d’accès)
Chacune de ces affirmations est partiellement vraie mais dangereusement incomplète. Un fichier chiffré peut être supprimé. Une sauvegarde peut être corrompue. Une signature ne protège pas contre la fuite de données.
Les trois piliers de la CIA Triad
La CIA Triad (Confidentiality, Integrity, Availability) constitue le socle de toute stratégie de sécurité. Ces trois propriétés définissent ce qu’un système doit garantir pour protéger l’information.
La métaphore du coffre-fort bancaire
Un coffre-fort bancaire illustre parfaitement ces trois piliers :
- Confidentialité : seul le propriétaire et les personnes autorisées peuvent ouvrir le coffre et voir son contenu
- Intégrité : le contenu du coffre ne peut pas être modifié à l’insu du propriétaire (scellés, inventaire)
- Disponibilité : le propriétaire peut accéder à son coffre pendant les heures d’ouverture de la banque
Un coffre qui ne s’ouvre plus (disponibilité compromise) ou dont le contenu a été remplacé par des copies (intégrité compromise) faillit à sa mission, même s’il reste parfaitement confidentiel.
Application aux systèmes informatiques
| Pilier | Objectif | Question clé |
|---|---|---|
| Confidentialité | L’information n’est accessible qu’aux personnes autorisées | Qui peut voir ces données ? |
| Intégrité | L’information n’a pas été modifiée de manière non autorisée | Ces données sont-elles exactes ? |
| Disponibilité | L’information est accessible quand on en a besoin | Le système est-il utilisable ? |
Confidentialité : protéger contre la divulgation
La confidentialité garantit que l’information n’est accessible qu’aux personnes autorisées. Elle protège contre l’espionnage, les fuites de données et les accès non autorisés.
Menaces contre la confidentialité
- Écoute réseau (sniffing) : interception du trafic non chiffré
- Vol de credentials : phishing, keylogger, brute force
- Accès physique : vol d’équipement, accès aux locaux
- Fuite interne : employé malveillant ou négligent
- Mauvaise configuration : bucket S3 public, base exposée
Mesures de protection
| Mesure | Fonction |
|---|---|
| Chiffrement au repos | Protège les données stockées |
| Chiffrement en transit (TLS) | Protège les données qui circulent |
| Contrôle d’accès (RBAC) | Limite qui peut accéder |
| Authentification forte (MFA) | Vérifie l’identité |
| Classification des données | Identifie ce qui est sensible |
| Cloisonnement réseau | Isole les systèmes sensibles |
Intégrité : protéger contre l’altération
L’intégrité garantit que l’information n’a pas été modifiée de manière non autorisée. Elle assure que les données restent exactes, complètes et fiables.
Menaces contre l’intégrité
- Modification malveillante : attaquant qui altère des fichiers
- Attaque man-in-the-middle : modification des données en transit
- Injection SQL : manipulation des requêtes vers la base
- Corruption accidentelle : erreur de disque, bug logiciel
- Erreur humaine : suppression ou modification par mégarde
Mesures de protection
| Mesure | Fonction |
|---|---|
| Hachage cryptographique | Détecte les modifications |
| Signatures numériques | Authentifie l’origine et l’intégrité |
| Contrôles de version | Trace les modifications |
| Journalisation (audit logs) | Enregistre qui a modifié quoi |
| Validation des entrées | Bloque les injections |
| Contraintes d’intégrité SQL | Empêche les données incohérentes |
Disponibilité : protéger contre l’interruption
La disponibilité garantit que l’information et les systèmes sont accessibles quand on en a besoin. Elle protège contre les interruptions de service.
Menaces contre la disponibilité
- Attaque DDoS : saturation des ressources
- Ransomware : chiffrement des données par l’attaquant
- Panne matérielle : disque, serveur, réseau
- Catastrophe naturelle : incendie, inondation
- Erreur de configuration : suppression accidentelle, mauvais déploiement
Mesures de protection
| Mesure | Fonction |
|---|---|
| Redondance | Évite les points uniques de défaillance |
| Haute disponibilité (HA) | Bascule automatique en cas de panne |
| Sauvegardes testées | Permet la restauration |
| Plan de reprise (PRA/PCA) | Procédure en cas de sinistre |
| Protection DDoS | Absorbe les attaques volumétriques |
| Monitoring et alertes | Détecte les problèmes rapidement |
Les tensions entre piliers
Ces trois propriétés sont souvent en tension. Renforcer l’une peut affaiblir une autre.
| Décision | Renforce | Peut affaiblir |
|---|---|---|
| Chiffrement fort de toutes les données | Confidentialité | Disponibilité (latence, complexité de récupération) |
| MFA obligatoire partout | Confidentialité | Disponibilité (friction utilisateur, blocage si perte du second facteur) |
| Réplication sur plusieurs sites | Disponibilité | Confidentialité (plus de points d’exposition) |
| Contrôles d’intégrité fréquents | Intégrité | Disponibilité (consommation de ressources) |
| Accès restreint en cas de doute | Confidentialité, Intégrité | Disponibilité (blocage des utilisateurs légitimes) |
L’équilibre dépend du contexte métier :
- Santé : priorité à la confidentialité (données patients protégées par la loi)
- Finance : priorité à l’intégrité (exactitude des transactions)
- E-commerce : priorité à la disponibilité (chaque minute d’indisponibilité coûte des revenus)
Scénario 1 : La base de données clients
Une entreprise stocke les informations personnelles de ses clients (RGPD).
Sans vision CIA :
- Données stockées en clair “pour simplifier le debug”
- Pas de journalisation des accès
- Sauvegardes non testées depuis 6 mois
Incident : Un attaquant accède à la base via une injection SQL.
- Confidentialité : toutes les données sont lisibles (pas de chiffrement)
- Intégrité : impossible de savoir ce qui a été modifié (pas de logs)
- Disponibilité : l’attaquant supprime la base, restauration échoue
Avec vision CIA :
| Pilier | Mesure | Effet |
|---|---|---|
| Confidentialité | Chiffrement AES-256 au repos, TLS en transit, accès par rôle | Données illisibles même en cas d’accès |
| Intégrité | Journalisation des modifications, contraintes SQL, validation des entrées | Injection détectée, modifications tracées |
| Disponibilité | Réplication synchrone, sauvegardes quotidiennes testées | Restauration en 30 minutes |
Scénario 2 : Le pipeline CI/CD
Un pipeline déploie automatiquement du code en production.
Sans vision CIA :
- Secrets en clair dans les variables d’environnement
- Pas de vérification du code avant déploiement
- Un seul runner, pas de fallback
Incident : Un développeur compromis pousse du code malveillant.
- Confidentialité : les secrets sont exposés dans les logs
- Intégrité : le code malveillant passe en production sans détection
- Disponibilité : le runner unique tombe, plus de déploiement possible
Avec vision CIA :
| Pilier | Mesure | Effet |
|---|---|---|
| Confidentialité | Gestionnaire de secrets (Vault), masquage dans les logs | Secrets non exposés |
| Intégrité | Signature des commits, revue obligatoire, scan SAST | Code malveillant bloqué |
| Disponibilité | Runners redondants, timeouts, alertes sur échecs | Déploiement toujours possible |
Pièges courants
Se focaliser sur un seul pilier
Une organisation obsédée par la confidentialité peut créer un système si verrouillé que personne ne peut travailler. À l’inverse, privilégier la disponibilité sans contrôle mène à des fuites de données.
Confondre chiffrement et sécurité complète
Le chiffrement protège la confidentialité, mais pas l’intégrité ni la disponibilité. Un fichier chiffré peut être supprimé (disponibilité) ou remplacé par un autre fichier chiffré (intégrité).
Oublier le facteur humain
Les trois piliers peuvent être compromis par une erreur ou une négligence humaine. La sensibilisation et les procédures sont aussi importantes que les contrôles techniques.
Négliger les dépendances
Un système peut être sécurisé localement mais dépendre d’un service tiers non sécurisé. La CIA Triad s’applique aussi aux fournisseurs et partenaires.
À retenir
-
Trois piliers indissociables — Confidentialité, Intégrité, Disponibilité forment un tout. Négliger l’un compromet l’ensemble.
-
Chaque mesure cible un pilier — Identifiez quel pilier vous renforcez avec chaque contrôle de sécurité.
-
Les piliers sont en tension — Renforcer l’un peut affaiblir un autre. L’équilibre dépend du contexte.
-
Le contexte métier dicte les priorités — Santé = confidentialité, Finance = intégrité, E-commerce = disponibilité.
-
L’analyse de risques guide les choix — Évaluez l’impact d’une atteinte à chaque pilier pour prioriser vos efforts.
Liens utiles
- Principes de Sécurité — Vue d’ensemble des concepts
- Menace, Risque, Vulnérabilité, Attaque — Vocabulaire de base
- Principe de Moindre Privilège — Contrôle d’accès
- Défense en profondeur — Stratégie multicouche