Sécurité de l'information : les critères DIC

Lors du développement de votre programme de sécurité de l'information, vous devez vous assurer de protéger votre contenu. Vous devez classer les données selon leur niveau de confidentialité et en autoriser l'accès aux seules personnes autorisées. Il vous faudra également protéger votre contenu en empêchant les personnes non autorisées de le modifier ou de le supprimer. Pour ce faire, les principes de base de la sécurité de l'information sont les suivants : disponibilité, intégrité et confidentialité, aussi appelés critères DIC.

Ces trois principes vous aideront à protéger et à préserver le contenu de votre entreprise.

Les principes de base de la sécurité de l'information permettent de protéger et de préserver la sécurité de votre contenu

Que signifie l'acronyme DIC en sécurité de l'information ?

Lorsque vous élaborez votre programme de sécurité de l'information et évaluez les plates-formes pour stocker les données de votre entreprise, ne négligez pas les trois principes de la sécurité de l'information. Toute plate-forme que vous utilisez doit respecter chacun des trois critères DIC : disponibilité, intégrité et confidentialité. Ces critères sont parfois appelés « triade CIA », de l’anglais Confidentiality, Integrity, Availability.

Disponibilité

La disponibilité est le premier critère de la sécurité de l'information à appliquer. Ce critère a trait à la facilité avec laquelle les utilisateurs autorisés peuvent accéder à l'information ou au contenu. Si la confidentialité des données de votre entreprise est importante, il est également indispensable que les personnes qui ont besoin d'utiliser le contenu puissent le faire. Le cloud de contenu est un moyen d'assurer la disponibilité de vos données. Les employés autorisés devraient pouvoir accéder au contenu depuis n'importe quel appareil connecté à Internet, à condition qu'ils disposent également du niveau d'accès et des outils d'authentification appropriés.

Disponibilité. Les principales questions à se poser: Où le contenu est-il accessible ? Comment le contenu est-il accessible ? Sur quelle période le contenu reste-t-il accessible ?

Voici les principales questions à se poser pour s’assurer du critère de disponibilité :

Où le contenu est-il accessible ?

La disponibilité du contenu peut varier en fonction de l'emplacement géographique de l'utilisateur. Vous pouvez par exemple restreindre l'accès à un document de travail à un pays précis ou à vos locaux. De plus, l'accès à certaines données peut être autorisé sur certains appareils et bloqué sur d'autres.

Comment le contenu est-il accessible ?

La façon dont un utilisateur accède au contenu peut être déterminée par ses identifiants ou les informations qu'il fournit. Vous pouvez, par exemple, exiger un nom d'utilisateur et un mot de passe, et activer l'authentification à deux facteurs.

Sur quelle période le contenu reste-t-il accessible ?

Il peut être nécessaire de fixer des limites de temps concernant l'accès à votre contenu. Un employé intérimaire devrait, par exemple, n'avoir accès aux documents de votre entreprise que pendant la durée de son contrat. Un fournisseur ne devrait pouvoir accéder à des fichiers contractuels que dans le cadre de sa collaboration avec votre entreprise.

Une bonne maintenance des logiciels et du matériel de votre entreprise est un élément crucial pour garantir la disponibilité de votre contenu. Si un logiciel tombe en panne fréquemment ou nécessite de nombreux temps d'arrêt, la disponibilité de votre contenu peut en être affectée drastiquement. L'état du matériel influence également la disponibilité. Si une personne souhaite imprimer un document ou doit utiliser un ordinateur spécial pour accéder à un type de contenu particulier, son accès au contenu s'en trouve limité.

Intégrité

L'intégrité est le deuxième principe clé de la sécurité de l'information. Le contenu doit être cohérent, précis et complet à toutes les étapes, qu'il soit au repos ou en transit. Les utilisateurs autorisés ne doivent pas être en mesure de modifier les données d'une manière qui affecte leur intégrité.

Pourquoi l'intégrité du contenu est-elle si importante ? Toute modification des données qui affecte leur cohérence ou leur exactitude pourrait être préjudiciable.

Au début des années 1980, de nombreux flacons de Tylenol, un médicament anti-douleur, vendus dans la région de Chicago ont été altérés. Quelqu'un a ajouté aux gélules du cyanure, un poison mortel, après que les flacons de médicaments ont quitté l'usine, mais avant qu'ils ne soient arrivés dans les pharmacies. À l'époque, il n'y avait aucun moyen de détecter si quelqu'un avait pu toucher aux médicaments après leur sortie de l'usine. Plusieurs personnes ont pris ces anti-douleurs empoisonnés et en sont mortes.

À la suite de ce terrible incident, des protocoles qui protègent l'intégrité des médicaments ont été mis en place. Aujourd'hui, les flacons de Tylenol et d'autres médicaments en vente libre sont scellés afin que personne ne puisse les ouvrir sans que cela se remarque. La société qui fabriquait le Tylenol a également modifié la conception du médicament afin que personne ne puisse altérer le produit.

Cet exemple marquant présente une altération physique d'un produit, affectant sa qualité et son intégrité. Il est aussi possible de falsifier votre contenu numérique d'une manière qui affecterait son intégrité. Par exemple, au lieu d'ajouter du cyanure à des médicaments déjà produits, il serait possible d'en modifier la recette pour que du cyanure ou un autre poison soit ajouté au cours de la production.

Ce scénario peut sembler extrême et improbable, mais de nombreux actes malveillants peuvent être réalisés en modifiant simplement des fichiers numériques. Par exemple, il serait possible de modifier les coordonnées bancaires d'un de vos employés afin de détourner le virement de son salaire vers un autre compte.

L'intégrité est une notion étroitement liée à la confidentialité. Les utilisateurs non autorisés ne peuvent pas modifier le contenu s'ils ne peuvent pas y accéder. Des mesures complémentaires au-delà des contrôles de confidentialité peuvent faciliter la protection de l'intégrité de votre contenu ou de vos données. Les journaux d'audit vous permettent de voir qui a fait quoi sur votre contenu, tandis que les contrôles de sauvegarde vous permettent de récupérer tout contenu supprimé ou altéré.

Confidentialité

Le principe de confidentialité garantit que seules les personnes autorisées à consulter le contenu peuvent le faire. Cela implique de mettre en place des contrôles pour garantir la confidentialité. Ces contrôles peuvent se fonder sur les éléments suivants :

  • Identification
  • Authentification
  • Autorisation
  • Chiffrement

Confidentialité. Les contrôles à mettre en place: Identification, Authentification, Autorisation, Chiffrement

Certains types de contenu nécessitent d’être plus protégés que d'autres. Par exemple, si vous souhaitez présenter votre entreprise au grand public au moyen d’une vidéo promotionnel, vous pouvez donner accès à cette vidéo. Cependant, cet accès devra être restreint pour protéger vos autres données sensibles telles que vos tableaux de suivi de budget ou des informations personnelles de vos employés. C'est pourquoi il est important de correctement classifier votre contenu pour garantir sa confidentialité.

Votre réputation serait en péril si une personne malveillante s'emparait du contenu de votre entreprise

Si la confidentialité n'est pas optimale, vous vous exposez à des risques de violation de votre contenu ou de vos données. Si vous n’avez mis en place ni mesures ni contrôles pour protéger votre contenu, quelqu'un pourrait facilement y accéder sans autorisation. Un pirate pourrait s'introduire dans votre système, télécharger des informations personnelles identifiables et les partager avec des tiers. Une violation de vos données peut nuire à votre entreprise de plusieurs manières, mais avant tout, cela risque de vous coûter cher. Il faut savoir que le coût moyen d'une violation de données a été estimé à 3,9 millions de dollars.

Sans compter que votre réputation est également touchée. Vos clients peuvent remettre en question la confiance qu'ils vous ont accordée s'ils estiment que vous ne prenez pas les mesures appropriées pour protéger leurs données personnelles.

Un manque de confidentialité peut aussi vous faire perdre votre avantage concurrentiel. Imaginez que vos concurrents apprennent sur quoi vous travaillez ou le type de produits que vous développez. Ils pourraient copier vos idées ou accélérer le lancement sur le marché de leurs propres produits.

En établissant une politique d'accès à votre contenu, vous automatisez les accès à vos données et en régissez le partage externe, l'impression et le téléchargement, pour garantir que seules les personnes autorisées peuvent voir et modifier certaines catégories de données. La collaboration est possible en toute fluidité, sans compromis sur la sécurité.

Autre matrice : les critères DICP ou DICT

Au-delà des 3 critères DIC (disponibilité, intégrité et confidentialité), un quatrième critère est parfois ajouté : la traçabilité (T) ou preuve (P).

Si des données ont été modifiées ou supprimées, il peut être important de pouvoir identifier d'où provient cette modification. Cela permet d'appliquer des mesures correctives afin d'éviter toute nouvelle modification indésirable, mais également de connaître la personne ou l'entité responsable de cette modification. Cet aspect peut être particulièrement pertinent pour des informations sensibles (financières ou contractuelles par exemple) si l'on suspecte un acte malveillant et non une simple erreur humaine ou un défaut matériel.

Les 3 objectifs de la triade DIC

Les 3 objectifs des critères DIC: 1. Protéger le contenu, 2. Assurer l'exactitude du contenu, 3. Garantir l’accès au contenu

Les principes de sécurité de l’information, aussi appelés « triade DIC » ou « triade CIA », fonctionnent conjointement pour protéger votre contenu, qu'il soit stocké dans le cloud ou sur site. Les trois objectifs des critères DIC sont :

  • Protéger le contenu
  • Assurer l'exactitude du contenu
  • Garantir l’accès au contenu

Le respect des trois principes de la sécurité de l'information s'apparente à un exercice d'équilibriste. Empêcher une violation de la confidentialité, protéger l'intégrité de votre contenu et garantir qu'il sera toujours disponible est un triple défi particulièrement difficile à relever. Cependant, vous pouvez essayer de trouver le bon équilibre entre tous ces impératifs afin que le contenu soit aussi protégé, précis et accessible que possible.

Une façon de répondre à certains besoins sans sacrifier les autres principes est de se concentrer sur les risques encourus et comment ils affectent chaque critère DIC. Par exemple, un ransomware affectera la plupart du temps la disponibilité de votre contenu. Ce type de malware chiffre vos fichiers, les rendant illisibles. Un pirate informatique qui réussit à installer un rançongiciel sur un appareil le rend pratiquement inutilisable pour son propriétaire tant que le logiciel malveillant y est présent. Reconnaître comment les rançongiciels peuvent affecter la disponibilité de votre contenu vous permet de développer des plans de sécurité pour les éviter.

Vous pouvez empêcher un ransomware de limiter l'accès à votre contenu en utilisant un programme de sauvegarde dans le cloud. Le logiciel malveillant pourra peut-être bloquer l'accès à un appareil donné, mais si votre contenu est également stocké dans le cloud, vos équipes pourront y accéder sans avoir à payer la rançon pour que le pirate débloque votre contenu.

Les bonnes pratiques pour protéger votre contenu

Les contrôles d'authentification: Ne laissez pas tomber votre contenu entre de mauvaises mains

Certains risques et menaces n'affectent qu'un seul des critères DIC, mais parfois plusieurs critères sont en jeu. Confidentialité et intégrité vont souvent de pair. Un tiers pourrait avoir accès à des informations sans autorisation et les modifier, soit pour causer du tort, soit pour son propre bénéfice. Un pirate pourrait ainsi mettre la main sur les coordonnées bancaires de vos fournisseurs et les modifier afin que vos paiements soient envoyés sur son compte plutôt que sur celui d’un fournisseur.

Vous pouvez utiliser plusieurs contrôles pour garantir les trois principes de la sécurité de l'information. Il sera généralement préférable de mettre en œuvre plusieurs contrôles pour assurer un équilibre entre les trois critères.

1. Authentification

Les contrôles d'authentification permettent de garantir que les personnes qui accèdent à votre contenu sont bien autorisées à le faire. Les contrôles peuvent être numériques ou physiques, selon l'emplacement du contenu. Voici les éléments permettant d'authentifier les utilisateurs autorisés.

Identification

Les contrôles d'identification consistent par exemple à scanner un badge pour laisser une personne accéder à une zone d'un bâtiment, telle qu'une salle d'archives. On peut également penser aux scanners d'empreintes digitales ou de rétine, qui vérifient l'identité d'une personne avant d'accorder l'accès à un emplacement physique ou à un appareil (comme le fait votre smartphone). Les contrôles d'identification pour accéder à du contenu numérique stocké dans le cloud ou sur site peuvent se faire grâce à des identifiants de connexion tels que les noms d'utilisateur ou adresses e-mail.

Mots de passe

Les mots de passe offrent une couche supplémentaire d'authentification. Vous pouvez demander à vos employés de créer des mots de passe forts et de les changer régulièrement pour minimiser les risques qu'un pirate informatique les devine.

Authentification à deux facteurs

L'authentification à deux facteurs (2FA), ou authentification multifacteur, nécessite au moins une vérification supplémentaire en plus de la connexion avec un nom d'utilisateur et un mot de passe. L’authentification à deux facteurs peut prendre plusieurs formes. La plus courante consiste à envoyer un code par SMS sur le smartphone d'un utilisateur, que celui-ci devra ensuite saisir pour accéder à l'application ou au programme. Une autre option consiste à demander aux utilisateurs de télécharger une application sur leur appareil mobile. Lorsqu'ils essaient d'accéder au contenu ou de se connecter, ils doivent appuyer sur un bouton dans l'application pour finaliser le processus d'authentification.

Les contrôles d'authentification protègent la confidentialité de votre contenu. Ils peuvent également avoir un impact sur la disponibilité de votre contenu, car les employés autorisés devront avoir à leur disposition les bons mots de passe et les bons appareils pour y accéder.

2. Contrôle d'accès

Une autre façon de protéger la confidentialité de votre contenu est d'en limiter l'accès. Plusieurs types de contrôle permettent de limiter ou de donner accès à des utilisateurs.

Classification de l’information

Classifier votre contenu est un moyen de déterminer qui peut voir ou modifier quelles données. Vous pouvez par exemple configurer un fichier X pour que toute personne disposant du lien puisse le consulter ou le modifier, mais vous pouvez aussi limiter l'accès à un autre fichier Y, n’autorisant que quelques personnes sélectionnées à le consulter.

Liens limités dans le temps

Si vous travaillez avec un fournisseur ou un sous-traitant qui a besoin d'accéder à un contenu spécifique, il sera pertinent d'en limiter l'accès dans le temps (uniquement pendant la durée de votre collaboration par exemple). Définir une date d'expiration aux autorisations que vous accordez est un moyen de contrôler l'accès à vos données. L'utilisateur ne pourra ainsi plus afficher ni modifier le contenu au-delà de la date définie. Si besoin, vous aurez toujours la possibilité de créer un nouveau lien pour lui redonner l'accès aux fichiers concernés.

Listes d'accès à jour

Dans toute entreprise, des employés arrivent et partent régulièrement. Il est important de s'assurer qu'une personne qui ne travaille plus pour vous n'a plus accès à vos informations et à votre contenu. La mise à jour régulière des listes d'accès permettra aux seules personnes qui ont légitimement le droit de consulter ou de modifier le contenu de le faire. Des listes d'accès à jour garantissent également que les nouveaux employés disposent des autorisations dont ils ont besoin pour commencer à travailler rapidement et efficacement.

3. Chiffrement

Le chiffrement de votre contenu vous permet de contrôler sa confidentialité et son intégrité

Le chiffrement de votre contenu vous permet de contrôler sa confidentialité et son intégrité. Le chiffrement transforme un contenu texte en un document incompréhensible aux personnes ne disposant pas de la clé pour le déchiffrer. La longueur de la clé détermine sa force et son efficacité. Plus elle est longue, plus elle est efficace, dans la plupart des cas. Une clé de 80 bits est considérée comme le niveau minimal de chiffrement pour assurer la sécurité. La plate-forme Box, par exemple, utilise une clé de 256 bits. Pour déchiffrer une clé de 256 bits, il faut essayer 2 256 combinaisons (ce qui représente un nombre 1 suivi de 77 zéros), tâche difficile même pour un ordinateur sophistiqué. L'utilisation du chiffrement protège votre contenu lorsqu'il est au repos et lorsqu'il est transmis d'un ordinateur à un autre.

4. Accès de partout et à tout moment à l'historique des fichiers

Un accès à l'historique de vos fichiers permet de savoir qui a accédé à votre contenu et d'en suivre les modifications

Vous devez aussi contrôler la façon dont votre contenu est modifié. L'intégrité du contenu de votre entreprise peut être affectée de plusieurs façons. Une personne peut commettre une erreur en modifiant une feuille de calcul, en ajoutant un chiffre erroné au mauvais endroit ou en se trompant sur l'orthographe du nom d'un client. Un pirate peut aussi accéder à un document et le modifier au point qu'il n'ait plus rien à voir avec le document d'origine.

Garder un accès aux anciennes versions de vos fichiers vous permet de comparer différentes versions pour voir ce qui a été modifié et de supprimer tout contenu compromis.

Découvrez la puissance du Content Cloud

En développant une plate-forme sécurisée unifiée pour toutes vos données, Box vous permet de gérer l'ensemble du cycle de vie de votre contenu en vous proposant notamment des solutions de création de fichiers, modification et édition partagées, signature électronique de documents, classification et conservation. Collaborez facilement autour de votre contenu avec plusieurs types d'utilisateurs aussi bien internes qu'externes à votre entreprise. Nous vous garantissons une sécurité et une conformité évolutives sans faille pour protéger vos activités et votre contenu. Vous pouvez également profiter de 1 500 intégrations fluides ainsi que d’une gamme de fonctionnalités natives, comme Box Sign.

Le Content Cloud de Box vous permet d’organiser vos flux de travail et votre sécurité tout en offrant à vos équipes tous les outils dont elles ont besoin pour rester efficaces et productives, sur site ou en télétravail.

Contactez-nous sans attendre pour découvrir ce que Box peut faire pour vous.

Box s’engage à proposer des produits et services vous garantissant une confidentialité, une sécurité et une conformité sans égales. Cependant, veuillez noter que les informations fournies dans cet article ne sont pas destinées à constituer un conseil juridique. Nous vous recommandons d’exercer une diligence raisonnable quant à votre conformité aux lois applicables.

Prêt à vous lancer avec Box ?