Qu’est-ce que la triade CIA? Les composants de la triade de la CIA, définis
la triade de la CIA est un modèle de sécurité de l’information largement utilisé qui peut guider les efforts et les politiques d’une organisation visant à protéger ses données. Le modèle n’a rien à voir avec les États-Unis., Les initiales représentent plutôt les trois principes sur lesquels repose infosec:
- Confidentialité: seuls les utilisateurs et les processus autorisés devraient pouvoir accéder aux données ou les modifier
- intégrité: les données devraient être maintenues dans un état correct et personne ne devrait être en mesure de les modifier incorrectement, accidentellement ou malicieusement
- disponibilité: les utilisateurs autorisés devraient les principes sont évidemment une priorité pour tout professionnel INFOSEC., Mais les considérer comme une triade oblige les professionnels de la sécurité à faire le difficile travail de réflexion sur la façon dont ils se chevauchent et peuvent parfois être en opposition les uns aux autres, ce qui peut aider à établir des priorités dans la mise en œuvre des politiques de sécurité. Nous discuterons de chacun de ces principes plus en détail dans un instant, mais parlons d »abord des origines et de l » importance de la triade.
qui a créé la triade de la CIA, et quand?,
contrairement à de nombreux concepts fondamentaux dans infosec, la triade de la CIA ne semble pas avoir un seul créateur ou promoteur; au contraire, il est apparu au fil du temps comme un article de sagesse parmi les pros de la sécurité de l »information. Ben Miller, vice-président de la société de cybersécurité Dragos, retrace les premières mentions des trois composants de la triade dans un billet de blog; il pense que le concept de confidentialité en informatique a été formalisé dans un 1976 États-Unis., L’étude de la force aérienne et l’idée d’intégrité ont été énoncées dans un document de 1987 qui reconnaissait que l’Informatique commerciale en particulier avait des besoins spécifiques en matière de documents comptables qui exigeaient de se concentrer sur l’exactitude des données. La disponibilité est plus difficile à cerner, mais la discussion autour de l’idée a pris de l’importance en 1988 lorsque le ver Morris, l’un des premiers logiciels malveillants répandus, a mis hors ligne une partie importante de l’Internet embryonnaire.
Il n »est pas non plus tout à fait clair quand les trois concepts ont commencé à être traités comme un tabouret à trois pattes., Mais il semble avoir été bien établi en tant que concept fondamental en 1998, lorsque Donn Parker, dans son livre Fighting Computer Crime, a proposé de l’étendre à un cadre à six éléments appelé hexad parkérien. (Nous reviendrons à L’Hexad plus tard dans cet article.)
ainsi, CIA triad a servi de moyen pour les professionnels de la sécurité de l’information de réfléchir à ce que leur travail implique depuis plus de deux décennies., Le fait que le concept fait partie de la tradition de la cybersécurité et ne »appartient « à personne a encouragé de nombreuses personnes à élaborer le concept et à mettre en œuvre leurs propres interprétations.
pourquoi la triade de la CIA est-elle importante?
quiconque connaît les bases de la cybersécurité comprendrait pourquoi ces trois concepts sont importants. Mais pourquoi est-il si utile de les considérer comme une triade d’idées liées, plutôt que séparément?,
il est instructif de penser à la triade de la CIA comme un moyen de donner un sens à la gamme déconcertante de logiciels, de services et de techniques de sécurité qui sont sur le marché. Plutôt que de jeter de l’argent et des consultants sur le vague » problème « de la » cybersécurité », nous pouvons poser des questions ciblées lorsque nous planifions et dépensons de l’Argent: cet outil rend-il nos informations plus sécurisées? Ce service d’aide à assurer l’intégrité de nos données? Le renforcement de notre infrastructure rendra-t-il nos données plus facilement accessibles à ceux qui en ont besoin?,
en outre, l’organisation de ces trois concepts dans une triade montre clairement qu’ils existent, dans de nombreux cas, en tension les uns avec les autres. Nous allons creuser plus profondément dans quelques exemples dans un moment, mais certains contrastes sont évidents: exiger une authentification élaborée pour l » accès aux données peut aider à assurer sa Confidentialité, mais cela peut aussi signifier que certaines personnes qui ont le droit de voir que les données peuvent avoir du mal à le faire, réduisant ainsi la disponibilité., Garder la triade de la CIA à l’esprit lorsque vous établissez des politiques de sécurité de l’information oblige une équipe à prendre des décisions productives sur lequel des trois éléments est le plus important pour des ensembles de données spécifiques et pour l’organisation dans son ensemble.
exemples de triade de la CIA
pour comprendre comment fonctionne la triade de la CIA dans la pratique, considérons l’exemple d’un guichet automatique bancaire, qui peut offrir aux utilisateurs l’accès aux soldes bancaires et à d’autres informations.,des outils qui couvrent les trois principes de la triade:
- Il assure la confidentialité en exigeant une authentification à deux facteurs (à la fois une carte physique et un code PIN) avant de permettre l’accès aux données
- Le guichet automatique et le logiciel bancaire assurent l’intégrité des données en veillant à ce que les transferts ou retraits effectués via la machine soient reflétés dans la comptabilité du compte bancaire de l’utilisateur
- La machine assure la disponibilité car elle se trouve dans un lieu public et est accessible même lorsque l’agence bancaire est fermée
Mais là »s plus aux trois principes que juste ce qui est à la surface., Voici quelques exemples de leur fonctionnement dans des environnements informatiques quotidiens.
CIA Triad confidentiality examples
Une grande partie de ce que les profanes considèrent comme la « cybersécurité » — essentiellement, tout ce qui restreint l’accès aux données — relève de la rubrique de la confidentialité. Cela inclut les deux grands d’infosec comme:
- authentification, qui englobe les processus qui permettent aux systèmes de déterminer si un utilisateur est qui ils disent qu’ils sont., Il s’agit notamment des mots de passe et de la panoplie de techniques disponibles pour établir l’identité: biométrie, jetons de sécurité, clés cryptographiques, etc.
- autorisation, qui détermine qui a le droit d’accéder à quelles données: juste parce qu’un système sait qui vous êtes, il n’ouvre pas nécessairement toutes ses données pour votre consultation! L »un des moyens les plus importants pour faire respecter la confidentialité est d » établir des mécanismes de besoin de savoir pour l » accès aux données; de cette façon, les utilisateurs dont les comptes ont été piratés ou qui sont devenus voyous ne peuvent pas compromettre les données sensibles., La plupart des systèmes d’exploitation imposent la confidentialité dans ce sens en ayant de nombreux fichiers accessibles uniquement par leurs créateurs ou un administrateur, par exemple.
La cryptographie à clé publique est une infrastructure répandue qui applique les deux: en authentifiant que vous êtes qui vous dites que vous êtes via des clés cryptographiques, vous établissez votre droit de participer à la conversation cryptée.
la confidentialité peut également être assurée par des moyens non techniques., Par exemple, garder les données papier derrière la serrure et la clé peut les garder confidentielles; il en va de même pour les ordinateurs à air ouvert et la lutte contre les tentatives d’ingénierie sociale.
une perte de confidentialité est définie comme une donnée vue par quelqu’un qui n’aurait pas dû la voir. Les grandes violations de données comme le hack Marriott sont des exemples de premier ordre de perte de confidentialité.
CIA Triad integrity examples
Les techniques de maintien de l’intégrité des données peuvent couvrir ce que beaucoup considéreraient comme des disciplines disparates., Par exemple, de nombreuses méthodes de protection de la confidentialité imposent également l »intégrité des données: vous ne pouvez pas modifier malicieusement les données auxquelles vous ne pouvez pas accéder, après tout. Nous avons également mentionné les règles d’accès aux données appliquées par la plupart des systèmes d’exploitation: dans certains cas, les fichiers peuvent être lus par certains utilisateurs mais pas modifiés, ce qui peut aider à maintenir l’intégrité des données ainsi que la disponibilité.
Mais il existe d’autres moyens de perdre l’intégrité des données qui vont au-delà des attaques malveillantes qui tentent de la supprimer ou de la modifier., Par exemple, la corruption s »infiltre dans les données de la RAM ordinaire à la suite d » interactions avec les rayons cosmiques beaucoup plus régulièrement que vous ne le pensez. C’est à l’exotisme extrémité du spectre, mais toutes les techniques visant à protéger l’intégrité physique des supports de stockage peuvent également protéger le virtuel de l’intégrité des données.
de nombreuses façons de vous défendre contre les atteintes à l’intégrité sont destinées à vous aider à détecter lorsque les données ont changé, comme les sommes de contrôle des données, ou à les restaurer dans un bon état connu, comme effectuer des sauvegardes fréquentes et méticuleuses., Les atteintes à l’intégrité sont un peu moins fréquentes ou évidentes que les violations des deux autres principes, mais peuvent inclure, par exemple, la modification des données commerciales pour influer sur la prise de décision, ou le piratage d’un système financier pour gonfler brièvement la valeur d’un stock ou d’un compte bancaire, puis siphonner l’excédent. Un exemple plus simple — et plus commun-d »une attaque sur l » intégrité des données serait une attaque de défacement, dans lequel les pirates modifient le code HTML d » un site web pour le vandaliser pour des raisons amusantes ou idéologiques.,
exemples de disponibilité de la triade CIA
le maintien de la disponibilité incombe souvent aux ministères qui ne sont pas fortement associés à la cybersécurité. La meilleure façon de s »assurer que vos données sont disponibles est de garder tous vos systèmes opérationnels, et assurez-vous qu » ils sont en mesure de gérer les charges réseau attendues. Cela implique de maintenir le matériel à jour, de surveiller l’utilisation de la bande passante et de fournir une capacité de basculement et de reprise après sinistre en cas de panne des systèmes.,
D’autres techniques Autour de ce principe impliquent de trouver comment équilibrer la disponibilité par rapport aux deux autres préoccupations de la triade. Pour en revenir aux autorisations de fichiers intégrées dans chaque système d’exploitation, l’idée de fichiers pouvant être lus mais non édités par certains utilisateurs représente un moyen d’équilibrer les besoins concurrents: que les données soient disponibles pour de nombreux utilisateurs, malgré notre besoin de protéger leur intégrité.
l’exemple classique de perte de disponibilité pour un acteur malveillant est une attaque par déni de service., À certains égards, c »est l »acte de force la plus brute de cyberagression là-bas: vous n »êtes pas modifier les données de votre victime ou furtivement un coup d »oeil à l »information que vous ne devriez pas avoir; Vous êtes juste les accabler avec le trafic afin qu » ils ne peuvent pas garder leur site web. Mais les attaques DoS sont très dommageables, et cela illustre pourquoi la disponibilité appartient à la triade.
implémentation de la triade de la CIA
la triade de la CIA devrait vous guider pendant que votre organisation écrit et met en œuvre ses politiques et cadres de sécurité globaux., Rappelez-vous, la mise en œuvre de la triade n »est pas une question d » achat de certains outils; la triade est une façon de penser, planification, et, peut-être le plus important, établir des priorités. Les cadres de cybersécurité standard de l’industrie comme ceux du NIST (qui se concentre beaucoup sur l’intégrité) sont informés par les idées derrière la triade de la CIA, bien que chacun ait son propre accent particulier.
Beyond the triad: the Parkerian Hexad, and more
la triade de la CIA est importante, mais ce n’est pas un bref sacré, et il y a beaucoup d’experts d’infosec qui vous diront qu’elle ne couvre pas tout., Comme nous l’avons mentionné, en 1998 Donn Parker a proposé un modèle à six faces qui a ensuite été surnommé L’Hexad parkérien, qui repose sur les principes suivants:
- Confidentialité
- Possession ou contrôle
- intégrité
- authenticité
- disponibilité
- utilité
Il est quelque peu ouvert de se demander si les trois points supplémentaires font vraiment pression sur un nouveau territoire-l’utilité et la possession pourraient être regroupées sous la disponibilité, par exemple. Mais il est intéressant de noter comme un modèle alternatif.,
un dernier principe important de la sécurité de l’information qui ne rentre pas parfaitement dans la triade de la CIA est la non-répudiation, ce qui signifie essentiellement que quelqu’un ne peut pas nier faussement qu’il a créé, modifié, observé ou transmis des données. Ceci est crucial dans les contextes juridiques lorsque, par exemple, quelqu’un peut avoir besoin de prouver qu’une signature est exacte ou qu’un message a été envoyé par la personne dont le nom y figure. La triade de la CIA n « est pas un être-tout et fin-tout, mais c »est un outil précieux pour planifier votre stratégie infosec.