Il est facile de protéger certaines données qui ne sont précieuses que pour vous. Vous pouvez stocker vos photos, vos idées ou vos notes sur une clé USB cryptée, verrouillée dans un endroit où vous SEUL avez la clé.

Mais les entreprises et les organisations doivent faire face à cela à grande échelle., Après tout, ce sont les données de l’entreprise—produits, détails des clients et des employés, idées, recherches, expériences—qui rendent votre entreprise utile et précieuse. (Les” actifs  » auxquels nous pensons normalement, comme le matériel et les logiciels, sont simplement les outils qui vous permettent de travailler avec et de sauvegarder les données de votre entreprise.)

alors, comment une organisation s’y prend-elle pour protéger ces données? Certes, il y a des stratégies de sécurité et des solutions technologiques qui peuvent aider, mais un concept les souligne tous: la triade de sécurité de la CIA.,

ce concept combine trois composantes—confidentialité, intégrité et disponibilité—pour guider les mesures de sécurité, les contrôles et la stratégie globale. Jetons un coup d’oeil.

(Cet article fait partie de notre Sécurité & Guide de Conformité. Utilisez le menu de droite pour naviguer.)

définir la CIA en sécurité

la triade CIA représente les fonctions de vos systèmes d’information. Votre système d’information englobe à la fois vos systèmes informatiques et vos données., Ben Dynkin, Co-fondateur & PDG D’Atlas Cybersecurity, explique que ce sont les fonctions qui peuvent être attaquées—ce qui signifie que ce sont les fonctions que vous devez défendre.

la triade de sécurité de la CIA comprend trois fonctions:

• Confidentialité. La capacité d’un système à s’assurer que seul l’utilisateur/système/ressource autorisé et correct peut afficher, accéder, modifier ou utiliser les données.
• intégrité. La capacité d’un système à s’assurer que le système et l’information sont exacts et corrects.
• Disponibilité., Capacité d’un système à s’assurer que les systèmes, l’information et les services sont disponibles la grande majorité du temps.

examinons chacun plus en détail.

Confidentialité

dans un sens non sécuritaire, la confidentialité est votre capacité à garder quelque chose secret. Dans le monde réel, nous pourrions accrocher des stores ou mettre des rideaux sur nos fenêtres. On pourrait demander à un ami de garder un secret. La confidentialité entre également en jeu avec la technologie. Cela peut se jouer différemment au niveau de l’utilisation personnelle, où nous utilisons des vpn ou du cryptage pour notre propre protection de la vie privée., Nous pourrions éteindre les appareils domestiques qui sont toujours à l’écoute.

mais dans enterprise security, la confidentialité est violée lorsqu’une personne non autorisée peut consulter, prendre et / ou modifier vos fichiers. La confidentialité est importante parce que votre entreprise veut protéger son avantage concurrentiel – les actifs incorporels qui font que votre entreprise se démarque de vos concurrents.

l’Intégrité

Dans les systèmes informatiques, l’intégrité signifie que les résultats de ce système sont précis et factuel., Dans le monde des données, c’est ce qu’on appelle la fiabilité des données—Pouvez-vous faire confiance aux résultats de vos données, de vos systèmes informatiques?

lors de la sécurisation d’un système d’information, l’intégrité est une fonction que vous essayez de protéger. Vous ne voulez pas que de mauvais acteurs ou une erreur humaine, intentionnellement ou accidentellement, ruinent l’intégrité de vos systèmes informatiques et de leurs résultats.

disponibilité

La disponibilité est un terme largement utilisé en informatique—la disponibilité des ressources pour prendre en charge vos services. En matière de sécurité, la disponibilité signifie que les bonnes personnes ont accès à vos systèmes d’information., Si un utilisateur disposant d’un accès privilégié n’a pas accès à son ordinateur dédié, il n’y a pas de disponibilité.

la disponibilité est un problème important en matière de sécurité car elle peut être attaquée. Une attaque sur votre disponibilité pourrait limiter l’accès des utilisateurs à tout ou partie de vos services, laissant votre brouillage pour nettoyer le désordre et limiter les temps d’arrêt.

la triade de la CIA dans la sécurité des entreprises

OK, nous avons donc les concepts en bas, mais que faisons-nous avec la triade?,

à la base, la CIA triad est un modèle de sécurité que vous pouvez—devriez—suivre afin de protéger les informations stockées dans des systèmes informatiques sur site ou dans le cloud. Il vous aide à:

• garder les informations secrètes (Confidentialité)
• maintenir l’état attendu et précis de ces informations (intégrité)
• assurer que vos informations et services sont opérationnels (disponibilité)

c’est un équilibre: aucune équipe de sécurité ne peut garantir à 100% que la confidentialité, l’intégrité et la disponibilité ne,

Au Lieu de cela, les professionnels de la sécurité utilisent la triade de la CIA pour comprendre et évaluer vos risques organisationnels. Dynkin suggère de décomposer toutes les menaces, attaques et vulnérabilités potentielles en une seule fonction de la triade. Par exemple:

• une violation de données attaque la confidentialité de vos données.
• Un incident de ransomware attaque la disponibilité de vos systèmes d’information.

Comprendre ce qui est attaqué, c’est comment vous pouvez renforcer la protection contre cette attaque., Prenez le cas des ransomwares-tous les professionnels de la sécurité veulent arrêter les ransomwares. Là où nous avons tendance à considérer les ransomwares au sens large, comme une « attaque de logiciels malveillants ésotériques”, Dynkin dit que nous devrions le voir comme une attaque conçue spécifiquement pour limiter votre disponibilité.

Quand vous pensez à cela comme une tentative de limiter la disponibilité, il m’a dit, vous pouvez prendre d’autres mesures d’atténuation que vous pourriez avoir si vous ne cherche à « arrêter ransomware”.

la triade peut vous aider à explorer des contrôles spécifiques. Elle s’applique également au niveau de la stratégie et des politiques., Dynkin poursuit: lorsque vous comprenez la triade de la CIA, vous pouvez élargir votre vision de la sécurité  » au-delà des détails spécifiques (qui sont toujours d’une importance critique) et vous concentrer sur une approche organisationnelle de la sécurité de l’information. »

Hiérarchisez chaque chose que vous devez protéger en fonction de la gravité des conséquences si la confidentialité, l’intégrité ou la disponibilité étaient violées. Par exemple, comment chaque événement pourrait-il enfreindre une partie ou plusieurs de la triade de la CIA:

• une interruption de service: un attaquant pourrait interrompre votre accès comme monnaie d’échange pour autre chose.,
• Interception: un attaquant peut bloquer ou détourner vos e-mails pour en savoir plus sur l’activité de l’entreprise.
• Modification ou fabrication: un attaquant peut modifier ou falsifier vos informations.

que se passe-t-il si un incident peut violer deux fonctions à la fois? Considérez, planifiez et prenez des mesures afin d’améliorer chaque caractéristique de sécurité autant que possible. Par exemple, la redondance des sauvegardes améliore la disponibilité globale. Si la disponibilité d’un système est attaquée, vous avez déjà une sauvegarde prête à l’emploi.,

la triade de la CIA en action

vous saurez que votre équipe de sécurité met de l’avant une certaine sécurité pour la triade de la CIA lorsque vous voyez des choses comme:

• limites des droits d’administrateur
• incapacité d’utiliser vos propres appareils inconnus
• l’utilisation de VPN pour accéder à certaines informations sensibles de l’entreprise

Tout ce qui est un atout—matériel et logiciel tangibles, connaissances et talents intangibles—devrait en quelque sorte être protégé par votre sécurité équipe. Et c’est le travail de l’équipe de sécurité: protéger tout actif que l’entreprise juge précieux., Et ce n’est clairement pas un projet facile.

propriétés de sécurité supplémentaires

les professionnels de la sécurité savent déjà que la sécurité informatique ne s’arrête pas à la triade de la CIA. ISO-7498-2 inclut également des propriétés supplémentaires pour la sécurité informatique:

• authentification: la capacité de vos systèmes à confirmer une identité.
• Non-répudiation ou responsabilité: capacité de vos systèmes à confirmer la validité de quelque chose qui se produit sur le système. C’est une assurance sur l’origine et l’intégrité des données.,

confidentialité, intégrité, disponibilité

ces trois composants sont la pierre angulaire de tout professionnel de la sécurité, le but de toute équipe de sécurité. John Svazic, fondateur D’EliteSec, dit que la triade de la CIA  » agit comme des points de contact pour tout type de travail de sécurité en cours”. Autrement dit, c’est un moyen pour les professionnels SecOps de répondre:

comment le travail que nous faisons améliore-t-il activement l’un de ces facteurs?,

lorsque votre entreprise crée un programme de sécurité ou ajoute un contrôle de sécurité, Vous pouvez utiliser la triade CIA pour justifier le besoin de contrôles que vous implémentez. Toujours ramener vos actions de sécurité à un ou plusieurs des composants de la CIA.

C’est pourquoi Svazic considère la triade de la CIA comme « un” critère « utile » qui vous aide à vous assurer que les contrôles que vous mettez en œuvre sont réellement utiles et nécessaires—pas un placebo.

lecture connexe

• BMC Security& Blog de conformité
• risque vs Menace vs vulnérabilité: quelles sont les différences?,
• liste de contrôle de récupération des violations pour vous & votre entreprise
• Les 8 meilleures façons dont les pirates informatiques Exfiltreront les données de votre Mainframe
• Gestion des actifs informatiques: 10 meilleures pratiques pour un ITAM réussi