top of page
Photo du rédacteurIsora Vachot

Intégrité, Confidentialité, Disponibilité : définitions

Dernière mise à jour : 26 avr.

Principes fondamentaux de la sécurité de l’information, que signifient-ils exactement ?



intégrité, confidentialité et disponibilité des données

Lorsqu’on parle de sécurité de l’information (ou de cybersécurité) les termes « confidentialité », « disponibilité » et « intégrité » sont récurrents. Mais que signifient-ils exactement ?


C’est trois termes sont les trois principes clés de la sécurité de l’information.


Voyons alors dans le détail à quoi correspondent ces trois principes de la sécurité de l’information, et voyons également les actions qui peuvent être mises en place par les entreprises, les organisations mais également les particuliers pour veiller à la confidentialité, à l’intégrité et à la disponibilité de leurs données.



La confidentialité des données


Le mot "confidentiel" est défini comme étant « le caractère d’une information confidentielle, secret ». En sécurité de l’information, le terme « confidentialité » signifie qu’une information, une donnée n’est accessible que par des personnes autorisées. Plus la donnée, plus l’information est de caractère sensible, plus la liste des personnes autorisées à y accéder doit être restreinte.


Un attaquant qui chercherait à porter atteinte à la confidentialité des données d’une entreprise chercherait alors à intercepter des communications, des informations confidentielles, privées ou concernant des personnes physiques. Il chercherait à accéder aux dossiers et informations internes de l’organisation, telle que des informations concernant les salariés, les clients, les signatures de contrats, etc.

La plupart des données traitées par les organisations sont aujourd’hui numérisées. Et avec la technologie, toutes ces données peuvent facilement être piratées et ainsi faire l’objet d’utilisations illégales et/ou malveillantes.


Les données dites « sensibles » doivent faire l’objet de précautions et de mesures de sécurité supplémentaires. Les données considérées comme étant sensibles sont par exemple :

  • Les numéros de sécurité sociale ;

  • Les informations de santé ;

  • Les informations ethniques, les croyances religieuses ou philosophiques ;

  • Les opinions politiques ;

  • Les données biométriques utilisées pour identifier un individu ;

  • Les données génétiques ;

  • Les relatives à l’orientation sexuelle ;

  • Etc.


La confidentialité des données est essentielle pour protéger les données personnelles des utilisations malveillantes qui pourraient en être faite. Il faut bien savoir que les données personnelles valent de l’or sur le marché noir. Elles sont revendues très chères car elles permettent de mener par la suite des attaques plus ciblées, plus personnalisées et donc plus à même de porter leurs fruits. Plus ces données sont précises, nombreuses et détaillées, plus elles valent de l’argent. Ainsi, un attaquant ayant accès à trop d’informations et de détails personnels sur un individus pourrait alors, dans les cas les plus grave, être en mesure d’usurper son identité.




L'intégrité des données


Le Larousse défini le terme « intégrité » comme un “état de quelque chose qui a conservé sans altération ses qualités, son état originel”. En informatique, garantir l’intégrité des données signifie garantir que les données n’aient subi aucune modification non-autorisée, quelle qu’elle soit, durant la communication ou la conservation. Cela signifie qu’elles sont exactement les mêmes que lors de leur création.


Ainsi, lorsque l’intégrité des données est assurées, les informations traitées sont complètes, fiables et correctes, et ce quelle que soit leur durée de stockage ou le nombre de fois ou on y accès.


On distingue deux types d’intégrité des données

  • L’intégrité physique : il s’agit de l’exactitude des données lors de leur stockage et/ou récupération. Les données sont complètes et non-altérées.

  • L’intégrité logique : les données restent inchangées, elles conservent toute leur exactitude pendant leurs différentes utilisations. Les données n’ont pas été modifiées ni altérées et elles sont exactes.



La disponibilité des données


En informatique, la disponibilité a pour but de garantir l’accès à une application, un système, une donnée. Les conséquences d’une perte en disponibilité ne sont pas du tout les mêmes en fonction de la nature des activités de l’organisation touchée.


Par exemple, nous avons récemment vu passer des cas de cyber attaques (et particulièrement de rançongiciels) ayant touché des établissements hospitaliers. Pour un grand nombre de ces établissements, la perte en disponibilité a été une conséquence de taille, car beaucoup d’entre eux n’étaient alors plus en mesure d’accéder aux dossiers patients et aux informations qui y étaient contenues, informations indispensables pour continuer à dispenser des soins efficacement.


Ces rançongiciels (ou ransomware en anglais) ont justement la particularité de porter atteinte à la disponibilité des données ou d’un système d’information en échange d’une rançon.



Comment assurer la confidentialité l'intégrité et la disponibilité de ses données ?


Que l’on soit un particulier ou un professionnelle, nous avons parfois besoin de mettre en place certaines choses afin de nous assurer de la confidentialité, de l’intégrité et de la disponibilité de ses données.




A - Lorsqu'on est un particulier


Même en tant que particulier, on peut avoir besoin de veiller à la disponibilité, à l'intégrité ou à la confidentialité de ses données. Et bien que les enjeux ne soient pas tout à fait les mêmes que pour une entreprise.


Il peut s’agit de protéger son identité numérique, de sauvegarder ses photos de familles et de vacances en ligne, des documents professionnels, personnels, scolaires et/ou académiques, de retrouver des éléments sauvegardées précédemment, etc.


En termes de disponibilité des données, les règles à suivre en tant que particulier peuvent être :

  • Faire un inventaire des données dont vous souhaitez assurez la disponibilité ;

  • Choisir un support de sauvegarde (Cloud ou physique) ;

  • Choisir une fréquence de sauvegarde et sauvegarder ses données régulièrement.


En termes de confidentialité des données, les enjeux pour les particuliers sont beaucoup plus importants. L’idée étant de protéger ses données personnelles contre d’éventuelles utilisations malveillantes, frauduleuses ou délictuelles. Et lorsque vous êtes un particulier naviguant en ligne, c’est vous qui êtes tenu d’assurer la confidentialité de vos données personnelles !


La principale règle de sécurité pour veiller à la confidentialité de ses données personnelles est de ne pas entrer ses informations personnelles n’importe où, et de maîtriser la quantité d’informations partagés. Par exemple :

  1. Lorsque vous le pouvez, ne fournissez pas toutes les informations demandées. Lorsque des champs de remplissage sont facultatifs et que vous avez la possibilité de ne pas tous les renseigner, ne les renseignez pas. Par exemple, si vous avez la possibilité de ne renseigner qu’un contacts sur deux (mail ou téléphone) n’en renseignez qu’un. De cette manière, vous vous assurez qu’en cas de piratage de la base de données enregistrant ces informations, les attaquants auraient alors accès à des données partielles vous concernant.

  2. Soyez vigilant quant aux sites ou applications sur lesquels vous entrez vos informations personnelles. Si le site ne vous parait pas de confiance, si les avis en ligne ne sont pas bons ou si le site vous promet des promotions vertigineuses sur des produits de luxe, restez sur vos gardes ! De nombreux sites frauduleux sont entièrement construits de manière à voler vos informations personnelles. Malheureusement, seule votre vigilance peut vous permettre de les reconnaitre. Pour reconnaitre un site frauduleux ou suspect : renseignez-vous en ligne via une recherche Google (n'hésitez pas à réaliser des recherches ciblées telles quel "nom de l'entreprise + arnaque" pour faire ressortir les éventuelles plaintes en ligne des utilisateurs), consultez les mentions légales et CGV/CGU disponibles sur le site (elles doivent l'être c'est la loi, si ce n'est pas le cas c'est mauvais signe) et surtout, faites confiance à votre instinct. Si le site vous parait suspect c'est que vous avez sûrement raison.

  3. N’hésitez pas à faire exercice de vos Droits Informatique et Libertés. Vous avez le droit de demander l’accès, la modification ou la suppression des données personnelles vous concernant à toute organisation avec qui vous avez partagé ces informations. Vous n’avez aucun délai à respecter, ni justification à présenter : ils vous suffit de contacter l’entreprise en question et de lui en faire la demande. Bien sûr, si ces données personnelles sont nécessaires à la bonne tenue d’un contrat, ces données ne pourraient pas être supprimées (par exemple, vous ne pouvez pas demander à votre fournisseur d’énergie de supprimer votre adresse postale, information dont il a besoin pour vous délivrer son service). Mais en faisant exercice de vos Droits Informatique et Libertés, vous avez la possibilité 1) d’être supprimé d’une éventuelle base de données faisant l’objet de sollicitations un peu trop régulières ou 2) de maîtriser la quantité d’informations personnelles vous concernant traitée et stockée par les organisations avec lesquels vous interagissez ou avez interagi.

  4. Soyez également vigilant quant à la quantité d’informations qui vous est demandée en fonction du site ou de l’application. Premier exemple : vous souhaitez télécharger un livre blanc en ligne, et le formulaire vous demande des informations telles qu’une adresse postale, un numéro de téléphone ou encore une date de naissance. C’est beaucoup d’informations personnelles demandées pour un livre blanc, pour lequel une simple adresse email (et pourquoi pas un prénom) devrait être demandée. Deuxième exemple : vous téléchargez une application de retouche photos sur votre téléphone, et cette dernière vous demande des autorisations d’accès à vos contacts, à vos applications de messagerie ou encore à vos données de localisation. Cela devrait immédiatement vous alerter.

  5. Limitez les informations que vous partagez avec et sur les réseaux sociaux. Lorsque vous créez un compte sur les réseaux sociaux, une très grande quantité d’informations personnelles vous est demandée. Ne renseignez pas tous les champs. Tout d’abord cela limitera les risques en cas de piratage de votre compte (et les comptes de réseaux sociaux sont une cible privilégiée pour les attaquants qui savent ces plateformes gourmandes en données personnelles). L’attaquant aurait alors accès à des informations partielles vous concernant. Mais cela limite aussi le risque en cas de visites d’internautes malveillants sur vos profils en ligne : eux non plus n’auraient que des informations partielles sur vous.


Et cette liste est non exhaustive. En tant qu’internaute, vous êtes donc également tenu d’assurer la confidentialité de vos données personnelles lorsque vous naviguez en ligne ou lorsque vous utilisez des services ou des applications numériques.





B - Lorsqu'on est un professionnel


Lorsqu’on est une organisation, assurer l’intégrité, la confidentialité et la disponibilité de ses données passe essentiellement par la réflexion autour d’une PSSI (i.e. Politique de Sécurité des Systèmes d’Information) qui vient définir en détail les règles de sécurité appliquées par l’organisation.


C’est ce document qui définit :

  • De quelle manière les données sont stockées et de quelle manière ce stockage est sécurisé (disponibilité et confidentialité des données) ;

  • De quelle manière les échanges de données sont sécurisés (confidentialité et intégrité des données) ;

  • De quelle manière l’accès aux données est régulé, contrôlé et sécurisé contre les accès non-autorisés (confidentialité des données) ;

  • Les techniques de chiffrement utilisées lors de la récolte, du stockage ou de l’échange des données (confidentialité des données) ;

  • La politique de sauvegarde en place dans l’entreprise (disponibilité des données) ;

  • De quelle manière les modifications et suppressions de données sont tracées (intégrité des données) ;

  • De quelle manière les outils informatiques ont été sécurisés contre les intrusions ou accès non-autorisés (confidentialité des données) ;

  • Etc.


Cette étape nécessite donc l’intervention d’un expert en cybersécurité pour assurer une prise en compte effective de toutes les menaces et atteintes potentielles pour la confidentialité, l’intégrité et la disponibilité des données. Un profil expert saura également mener une cartographie des vos données afin de vous proposer les mesures de sécurisation adaptées.




Les violations de données


Lorsqu’on parle de « violation de données », cela signifie que les données en question ont perdu en intégrité (elles ont été altérées, modifiées ou sont partiellement manquantes), en confidentialité (elles ont été consulté par un tiers non-autorisé) et / ou en disponibilité (elles sont inaccessibles).


Ces principes fondamentaux de la sécurité de l’information, connus sous le nom de D.I.C, sont donc retenus pour évaluer si un système d’information est correctement sécurisé. S’ils ne sont pas imposés ils restent fortement recommandés et en effet, sans l’application stricte de ces principes, il est impossible de savoir si une donnée à été corrompue.



 

Articles complémentaires :



 

Vous avez apprécié cet article de blog ?


Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !



 

Nous avons besoin de vos réponses !




En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.


Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !


Merci pour vos réponses !


 

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !



entreprise de cybersécurité

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !


 

6 513 vues
bottom of page