Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Le Triangle CIA et son application dans le monde réel

Le Triangle CIA et son application dans le monde réel

Mar 26, 2019

Qu'est-ce que la triade CIA ?

La sécurité de l'information repose sur trois principes clés : la confidentialité, l'intégrité et la disponibilité (CIA). Selon l'environnement, l'application, le contexte ou le cas d'utilisation, l'un de ces principes peut être plus important que les autres. Par exemple, pour une agence financière, la confidentialité des informations est primordiale, elle chiffrerait donc probablement tout document classifié transféré électroniquement afin d'empêcher les personnes non autorisées de lire son contenu. D'autre part, des organisations telles que les places de marché Internet seraient gravement affectées si leur réseau était hors service pendant une période prolongée, elles pourraient donc se concentrer sur des stratégies pour assurer une haute disponibilité plutôt que de s'inquiéter des données chiffrées.

Confidentialité

La confidentialité vise à empêcher l'accès non autorisé aux informations sensibles. L'accès peut être intentionnel, comme un intrus qui pénètre dans le réseau et lit les informations, ou il peut être involontaire, en raison de la négligence ou de l'incompétence des individus qui gèrent les informations. Les deux principaux moyens d'assurer la confidentialité sont la cryptographie et le contrôle d'accès.

Contenu connexe sélectionné

Cryptographie

Le chiffrement aide les organisations à répondre au besoin de sécuriser les informations contre les divulgations accidentelles et les tentatives d'attaque internes et externes. L'efficacité d'un système cryptographique pour empêcher le décryptage non autorisé est appelée sa force. Un système cryptographique fort est difficile à craquer. La force peut aussi être exprimée en tant que facteur de travail, qui est une estimation du temps et de l'effort nécessaires pour briser un système.

Un système est considéré comme faible s'il autorise des clés faibles, présente des défauts dans sa conception ou est facilement déchiffrable. De nombreux systèmes disponibles aujourd'hui sont plus qu'adéquats pour une utilisation commerciale et personnelle, mais ils sont inadéquats pour des applications militaires ou gouvernementales sensibles. La cryptographie dispose d'algorithmes symétriques et asymétriques.

Algorithmes symétriques

Les algorithmes symétriques nécessitent que l'expéditeur et le destinataire d'un message chiffré disposent de la même clé et des mêmes algorithmes de traitement. Les algorithmes symétriques génèrent une clé symétrique (parfois appelée clé secrète ou clé privée) qui doit être protégée ; si la clé est perdue ou volée, la sécurité du système est compromise. Voici quelques-unes des normes courantes pour les algorithmes symétriques :

  • Standard de chiffrement des données (DES). Le DES est utilisé depuis le milieu des années 1970. Pendant des années, il a été la norme principale utilisée dans le gouvernement et l'industrie, mais il est maintenant considéré comme non sécurisé en raison de la petite taille de sa clé — il génère une clé de 64 bits, mais huit de ces bits sont juste pour la correction d'erreur et seulement 56 bits sont la clé réelle. Maintenant, l'AES est la norme principale.
  • Triple-DES (3DES). 3DES est une amélioration technologique du DES. 3DES est toujours utilisé, même si AES est le choix préféré pour les applications gouvernementales. 3DES est considérablement plus difficile à casser que de nombreux autres systèmes, et il est plus sécurisé que DES. Il augmente la longueur de la clé à 168 bits (en utilisant trois clés DES de 56 bits).
  • Standard de chiffrement avancé (AES). L'AES a remplacé le DES comme norme utilisée par les agences gouvernementales américaines. Il utilise l'algorithme Rijndael, nommé d'après ses développeurs, Joan Daemen et Vincent Rijmen. L'AES prend en charge des tailles de clés de 128, 192 et 256 bits, 128 bits étant la taille par défaut.
  • Ron’s Cipher ou Ron’s Code (RC). RC est une famille de chiffrement produite par les laboratoires RSA et nommée d'après son auteur, Ron Rivest. Les niveaux actuels sont RC4, RC5 et RC6. RC5 utilise une taille de clé allant jusqu'à 2 048 bits ; il est considéré comme un système robuste. RC4 est populaire pour le chiffrement sans fil et WEP/WPA. C'est un chiffre en flux qui fonctionne avec des tailles de clé entre 40 et 2 048 bits, et il est utilisé dans SSL et TLS. Il est également populaire auprès des utilitaires ; ils l'utilisent pour télécharger des fichiers torrent. De nombreux fournisseurs limitent le téléchargement de ces fichiers, mais l'utilisation de RC4 pour obscurcir l'en-tête et le flux rend plus difficile pour le fournisseur de services de réaliser qu'il s'agit de fichiers torrent qui sont échangés.
  • Blowfish et Twofish. Blowfish est un système de chiffrement inventé par une équipe dirigée par Bruce Schneier qui réalise un chiffrement par blocs de 64 bits à des vitesses très rapides. C'est un chiffrement par blocs symétrique qui peut utiliser des clés de longueur variable (de 32 bits à 448 bits). Twofish est assez similaire mais il fonctionne sur des blocs de 128 bits. Sa caractéristique distinctive est qu'il possède un calendrier de clés complexe.
  • Algorithme international de chiffrement des données (IDEA). IDEA a été développé par un consortium suisse et utilise une clé de 128 bits. Ce produit est similaire en vitesse et capacité au DES, mais il est plus sécurisé. IDEA est utilisé dans Pretty Good Privacy (PGP), un système de chiffrement du domaine public que de nombreuses personnes utilisent pour les courriels.
  • Blocs-notes à usage unique. Les blocs-notes à usage unique sont les seules implémentations cryptographiques véritablement complètement sécurisées. Ils sont si sécurisés pour deux raisons. Premièrement, ils utilisent une clé qui est aussi longue qu'un message en clair. Cela signifie qu'il n'y a aucun motif dans l'application de la clé qu'un attaquant pourrait utiliser. Deuxièmement, les clés de bloc-notes à usage unique sont utilisées une seule fois puis jetées. Donc, même si vous pouviez casser un chiffrement de bloc-notes à usage unique, la même clé ne serait jamais réutilisée, donc la connaissance de la clé serait inutile.

Algorithmes asymétriques

Les algorithmes asymétriques utilisent deux clés : une clé publique et une clé privée. L'expéditeur utilise la clé publique pour chiffrer un message, et le destinataire utilise la clé privée pour le déchiffrer. La clé publique peut être réellement publique ou elle peut être un secret entre les deux parties. La clé privée, cependant, est gardée privée ; seul le propriétaire (destinataire) la connaît. Si quelqu'un veut vous envoyer un message chiffré, il peut utiliser votre clé publique pour chiffrer le message puis vous l'envoyer. Vous pouvez utiliser votre clé privée pour déchiffrer le message. Si les deux clés deviennent disponibles pour un tiers, le système de chiffrement ne protégera pas la confidentialité du message. Le véritable « magie » de ces systèmes est que la clé publique ne peut pas être utilisée pour déchiffrer un message. Si Bob envoie à Alice un message chiffré avec la clé publique d'Alice, cela n'a pas d'importance si tout le monde sur Terre a la clé publique d'Alice, puisque cette clé ne peut pas déchiffrer le message. Voici quelques-unes des normes communes pour les algorithmes asymétriques :

  • RSA. RSA est nommé d'après ses inventeurs, Ron Rivest, Adi Shamir et Leonard Adleman. L'algorithme RSA est un des premiers systèmes de chiffrement à clé publique qui utilise de grands entiers comme base du processus. Il est largement mis en œuvre et est devenu une norme de facto. RSA fonctionne avec le chiffrement et les signatures numériques. RSA est utilisé dans de nombreux environnements, y compris la couche de sockets sécurisés (SSL), et peut être utilisé pour key exchange.
  • Diffie-Hellman. Whitfield Diffie et Martin Hellman sont considérés comme les fondateurs du concept de clé publique/privée. Leur algorithme Diffie-Hellman est principalement utilisé pour générer une clé secrète partagée à travers des réseaux publics. Le processus n'est pas utilisé pour chiffrer ou déchiffrer des messages ; il sert uniquement à la création d'une clé symétrique entre deux parties.
  • Cryptographie sur les courbes elliptiques (EEC). L'EEC offre des fonctionnalités similaires à RSA mais utilise des tailles de clé plus petites pour obtenir le même niveau de sécurité. Les systèmes de chiffrement EEC sont basés sur l'idée d'utiliser des points sur une courbe combinés à un point à l'infini et la difficulté de résoudre les problèmes de logarithme discret.

Contrôle d'accès

Le chiffrement est un moyen d'assurer la confidentialité ; une seconde méthode est le contrôle d'accès. Il existe plusieurs approches du contrôle d'accès qui contribuent à la confidentialité, chacune avec ses propres forces et faiblesses :

  • Contrôle d'accès obligatoire (MAC). Dans un environnement MAC, toutes les capacités d'accès sont prédéfinies. Les utilisateurs ne peuvent pas partager d'informations à moins que leurs droits de partage ne soient établis par les administrateurs. Par conséquent, les administrateurs doivent effectuer tout changement nécessaire à ces droits. Ce processus impose un modèle de sécurité rigide. Cependant, il est également considéré comme le modèle de cybersécurité le plus sûr.
  • Contrôle d'accès discrétionnaire (DAC). Dans un modèle DAC, les utilisateurs peuvent partager des informations de manière dynamique avec d'autres utilisateurs. Cette méthode permet un environnement plus flexible, mais elle augmente le risque de divulgation non autorisée des informations. Les administrateurs ont plus de difficultés à garantir que seuls les utilisateurs appropriés peuvent accéder aux données.
  • Contrôle d'accès basé sur les rôles (RBAC). Le contrôle d'accès basé sur les rôles met en œuvre un accès selon la fonction ou la responsabilité professionnelle. Chaque employé possède un ou plusieurs rôles qui lui permettent d'accéder à des informations spécifiques. Si une personne passe d'un rôle à un autre, l'accès lié au rôle précédent ne sera plus disponible. Les modèles RBAC offrent plus de flexibilité que le modèle MAC et moins de flexibilité que le modèle DAC. Ils ont cependant l'avantage d'être strictement basés sur la fonction professionnelle plutôt que sur les besoins individuels.
  • Contrôle d'accès basé sur les rôles (RBAC). Le contrôle d'accès basé sur les règles utilise les paramètres des politiques de sécurité préconfigurées pour prendre des décisions concernant l'accès. Ces règles peuvent être configurées pour :
    • Refuser l'accès à tous sauf à ceux qui figurent spécifiquement sur une liste (une liste d'autorisation d'accès)
    • Refusez l'accès uniquement à ceux qui figurent spécifiquement dans la liste (une véritable liste de refus d'accès)

Les entrées de la liste peuvent être des noms d'utilisateur, des adresses IP, des noms d'hôte ou même des domaines. Les modèles basés sur des règles sont souvent utilisés conjointement avec des modèles basés sur des rôles pour obtenir la meilleure combinaison de sécurité et de flexibilité.

  • Contrôle d'accès basé sur les attributs (ABAC). ABAC est une méthode relativement nouvelle de contrôle d'accès définie dans NIST 800-162, Définition et considérations du contrôle basé sur les attributs. C'est une méthodologie de contrôle d'accès logique où l'autorisation d'effectuer un ensemble d'opérations est déterminée en évaluant les attributs associés au sujet, à l'objet, aux opérations demandées et, dans certains cas, aux conditions environnementales par rapport à security policy, aux règles ou relations qui décrivent les opérations autorisées pour un ensemble donné d'attributs.
  • Les cartes à puce sont généralement utilisées pour le contrôle d'accès et la sécurité. La carte elle-même contient habituellement une petite quantité de mémoire qui peut être utilisée pour stocker des permissions et des informations d'accès.
  • Un jeton de sécurité était à l'origine un dispositif matériel nécessaire pour accéder, tel qu'une carte d'accès sans fil ou un porte-clés électronique. Il existe maintenant également des implémentations logicielles de jetons. Les jetons contiennent souvent un certificat numérique qui est utilisé pour authentifier l'utilisateur.

Intégrité

L'intégrité a trois objectifs qui aident à atteindre la Data Security :

  • Prévenir la modification des informations par des utilisateurs non autorisés
  • Prévenir la modification non autorisée ou involontaire des informations par les utilisateurs autorisés
  • Préservation de la cohérence interne et externe :
    • Cohérence interne — Garantit que les données sont cohérentes en interne. Par exemple, dans une base de données organisationnelle, le nombre total d'articles possédés par une organisation doit être égal à la somme des mêmes articles indiqués dans la base de données comme étant détenus par chaque élément de l'organisation.
    • Cohérence externe — Garantit que les données stockées dans la base de données sont cohérentes avec le monde réel. Par exemple, le nombre total d'articles physiquement présents sur l'étagère doit correspondre au nombre total d'articles indiqué par la base de données.

Diverses méthodes de chiffrement peuvent aider à garantir l'intégrité en fournissant l'assurance qu'un message n'a pas été modifié pendant la transmission. Une modification pourrait rendre un message inintelligible ou, pire encore, inexact. Imaginez les conséquences graves si des altérations aux dossiers médicaux ou aux prescriptions de médicaments n'étaient pas découvertes. Si un message est altéré, le système de chiffrement devrait avoir un mécanisme pour indiquer que le message a été corrompu ou modifié.

Hachage

L'intégrité peut également être vérifiée à l'aide d'un algorithme de hachage. Essentiellement, un hachage du message est généré et ajouté à la fin du message. La partie réceptrice calcule le hachage du message qu'elle a reçu et le compare au hachage reçu. Si quelque chose a changé pendant le transit, les hachages ne correspondront pas.

Le hachage est un contrôle d'intégrité acceptable pour de nombreuses situations. Cependant, si une partie interceptante souhaite modifier intentionnellement un message et que le message n'est pas chiffré, alors un hachage est inefficace. La partie interceptante peut voir, par exemple, qu'un hachage de 160 bits est attaché au message, ce qui suggère qu'il a été généré en utilisant SHA-1 (qui est discuté ci-dessous). Ensuite, l'intercepteur peut simplement modifier le message comme il le souhaite, supprimer le hachage SHA-1 original, et recalculer un hachage à partir du message modifié.

Algorithmes de hachage

Les hachages utilisés pour stocker des données sont très différents des hachages cryptographiques. En cryptographie, une fonction de hachage doit avoir trois caractéristiques :

  1. Il doit être à sens unique. Une fois que vous avez haché quelque chose, vous ne pouvez pas le déhacher.
  2. Une entrée de longueur variable produit une sortie de longueur fixe. Que vous hachiez deux caractères ou deux millions, la taille du hachage est la même.
  3. L'algorithme doit avoir peu ou pas de collisions. Le hachage de deux entrées différentes ne donne pas le même résultat.

Voici des algorithmes de hachage et des concepts associés avec lesquels vous devriez vous familiariser :

  • Algorithme de hachage sécurisé (SHA). À l'origine nommé Keccak, le SHA a été conçu par Guido Bertoni, Joan Daemen, Michaël Peeters et Gilles Van Assche. Le SHA-1 est un hachage unidirectionnel qui fournit une valeur de hachage de 160 bits pouvant être utilisée avec un protocole de chiffrement. En 2016, des problèmes avec le SHA-1 ont été découverts ; il est maintenant recommandé d'utiliser le SHA-2 à la place. Le SHA-2 peut produire des hachages de 224, 256, 334 et 512 bits. Il n'y a pas de problèmes connus avec le SHA-2, c'est donc toujours l'algorithme de hachage le plus largement utilisé et recommandé. Le SHA-3 a été publié en 2012 et est largement applicable mais pas largement utilisé. Cela n'est pas dû à des problèmes avec le SHA-3, mais plutôt au fait que le SHA-2 est parfaitement adéquat.
  • Algorithme de condensat de message (MD). MD est un autre hachage unidirectionnel qui crée une valeur de hachage utilisée pour aider à maintenir l'intégrité. Il existe plusieurs versions de MD ; les plus courantes sont MD5, MD4 et MD2. MD5 est la version la plus récente de l'algorithme ; il produit un hachage de 128 bits. Bien qu'il soit plus complexe que ses prédécesseurs MD et offre une sécurité accrue, il ne possède pas une forte résistance aux collisions, et donc il n'est plus recommandé pour une utilisation. SHA (2 ou 3) sont les alternatives recommandées.
  • Primitives d'Évaluation de l'Intégrité RACE Digest de Message (RIPEMD). RIPEMD était basé sur MD4. Des questions concernant sa sécurité ont été soulevées, et il a été remplacé par RIPEMD-160, qui utilise 160 bits. Il existe également des versions utilisant 256 et 320 bits (RIPEMD-256 et RIPEMD-320, respectivement).
  • GOST est un chiffrement symétrique développé dans l'ancienne Union Soviétique qui a été modifié pour fonctionner comme une fonction de hachage. GOST traite un message de longueur variable en une sortie de longueur fixe de 256 bits.
  • Avant la sortie de Windows NT, les systèmes d'exploitation de Microsoft utilisaient le protocole LANMAN pour l'authentification. Fonctionnant uniquement comme un protocole d'authentification, LANMAN utilisait le hachage LM et deux clés DES. Il a été remplacé par le NT LAN Manager (NTLM) avec la sortie de Windows NT.
  • Microsoft a remplacé le protocole LANMAN par NTLM (NT LAN Manager) avec la sortie de Windows NT. NTLM utilise les algorithmes de hachage MD4/MD5. Plusieurs versions de ce protocole existent (NTLMv1 et NTLMv2), et il est toujours largement utilisé malgré le fait que Microsoft a nommé Kerberos comme son protocole d'authentification préféré. Bien que LANMAN et NTLM utilisent tous deux le hachage, ils sont principalement utilisés dans le but de l'authentification.
  • Une méthode courante pour vérifier l'intégrité consiste à ajouter un code d'authentification de message (MAC) au message. Un MAC est calculé en utilisant un chiffrement symétrique en mode de chaînage de blocs de chiffrement (CBC), avec seulement le dernier bloc produit. Essentiellement, la sortie du CBC est utilisée comme la sortie d'un algorithme de hachage. Cependant, contrairement à un algorithme de hachage, le chiffrement nécessite une clé symétrique qui est échangée entre les deux parties à l'avance.
  • HMAC (code d'authentification de message basé sur un hachage) utilise un algorithme de hachage avec une clé symétrique. Ainsi, par exemple, deux parties conviennent d'utiliser un hachage MD5. Une fois le hachage calculé, il est combiné exclusivement par un OU exclusif (XOR) avec le résumé, et cette valeur résultante est l'HMAC.

Baseline

Établir une base de référence (configuration, base de référence, base de référence des systèmes, base de référence des activités) est une stratégie importante pour secure networking. Essentiellement, vous trouvez une base de référence que vous considérez comme sûre pour un système, ordinateur, application ou service donné. Certes, la sécurité absolue n'est pas possible — l'objectif est suffisamment sûr, en fonction des besoins de sécurité de votre organisation et de son appétit pour le risque. Tout changement peut être comparé à la base de référence pour voir si le changement est suffisamment sûr. Une fois une base de référence définie, l'étape suivante consiste à surveiller le système pour s'assurer qu'il n'a pas dévié de cette base de référence. Ce processus est défini comme la mesure de l'intégrité.

Disponibilité

La disponibilité garantit que les utilisateurs autorisés d'un système ont un accès rapide et ininterrompu aux informations du système et au réseau. Voici les méthodes pour atteindre la disponibilité :

  • Allocation distributive. Communément appelée équilibrage de charge, l'allocation distributive permet de répartir la charge (demandes de fichiers, routage des données, etc.) de manière à ce qu'aucun appareil ne soit surchargé.
  • Haute disponibilité (HA). La haute disponibilité fait référence aux mesures utilisées pour maintenir les services et les systèmes d'information opérationnels pendant une panne. L'objectif de la HA est souvent d'avoir des services clés disponibles 99,999 pour cent du temps (connu sous le nom de disponibilité « cinq neufs »). Les stratégies de HA incluent la redondance et le basculement, qui sont discutés ci-dessous.
  • Redondance. La redondance fait référence à des systèmes qui sont soit dupliqués, soit basculent sur d'autres systèmes en cas de dysfonctionnement. Le basculement désigne le processus de reconstruction d'un système ou de passage à d'autres systèmes lorsqu'une défaillance est détectée. Dans le cas d'un serveur, celui-ci bascule sur un serveur redondant lorsqu'une panne est détectée. Cette stratégie permet de continuer le service sans interruption jusqu'à ce que le serveur principal puisse être restauré. Dans le cas d'un réseau, cela signifie que le traitement bascule sur un autre chemin réseau en cas de défaillance du chemin principal.
    Les systèmes de basculement peuvent être coûteux à mettre en œuvre. Dans un grand réseau d'entreprise ou un environnement de commerce électronique, un basculement peut impliquer de transférer tout le traitement vers un emplacement distant jusqu'à ce que votre installation principale soit opérationnelle. Le site principal et le site distant synchroniseraient les données pour garantir que les informations soient aussi à jour que possible.
    De nombreux systèmes d'exploitation, tels que Linux, Windows Server et Novell Open Enterprise Server, sont capables de se regrouper pour fournir des capacités de basculement. Le clustering implique plusieurs systèmes connectés ensemble de manière coopérative (ce qui offre un équilibrage de charge) et mis en réseau de telle manière que si l'un des systèmes échoue, les autres systèmes prennent le relais et continuent de fonctionner. La capacité globale du cluster de serveurs peut diminuer, mais le réseau ou le service restera opérationnel. Pour apprécier la beauté du clustering, contemplez le fait que c'est la technologie sur laquelle Google est construit. Non seulement le clustering vous permet d'avoir de la redondance, mais il vous offre également la possibilité de monter en charge à mesure que la demande augmente.
    La plupart des fournisseurs de services Internet et des fournisseurs de réseau disposent d'une capacité de basculement interne étendue pour fournir une haute disponibilité aux clients. Les clients professionnels et les employés qui ne peuvent pas accéder aux informations ou aux services ont tendance à perdre confiance.
    Le compromis pour la fiabilité et la crédibilité, bien sûr, est le coût : les systèmes de basculement peuvent devenir prohibitivement coûteux. Vous devrez étudier attentivement vos besoins pour déterminer si votre système nécessite cette capacité. Par exemple, si votre environnement nécessite un haut niveau de disponibilité, vos serveurs devraient être regroupés. Cela permettra aux autres serveurs du réseau de prendre en charge la charge si l'un des serveurs du cluster échoue.
  • Tolérance aux pannes. La tolérance aux pannes est la capacité d'un système à maintenir ses opérations en cas de défaillance d'un composant. Les systèmes tolérants aux pannes peuvent continuer à fonctionner même si un composant critique, tel qu'un disque dur, est défaillant. Cette capacité implique de surdimensionner les systèmes en ajoutant des composants et des sous-systèmes redondants pour réduire le risque d'arrêt. Par exemple, la tolérance aux pannes peut être intégrée dans un serveur en ajoutant une seconde alimentation, un second processeur et d'autres composants clés. La plupart des fabricants (tels que HP, Sun et IBM) proposent des serveurs tolérants aux pannes ; ils disposent généralement de plusieurs processeurs qui basculent automatiquement en cas de dysfonctionnement.
    Il y a deux composants clés de la tolérance aux pannes que vous ne devez jamais négliger : les pièces de rechange et l'alimentation électrique. Les pièces de rechange doivent toujours être disponibles pour réparer tout composant critique du système en cas de défaillance. La stratégie de redondance « N+1 » signifie que vous disposez du nombre de composants nécessaires, plus un à brancher dans n'importe quel système en cas de besoin. Étant donné que les systèmes informatiques ne peuvent pas fonctionner en l'absence d'alimentation électrique, il est impératif que la tolérance aux pannes soit également intégrée dans votre infrastructure électrique. Au strict minimum, une alimentation sans interruption (UPS) avec protection contre les surtensions devrait accompagner chaque serveur et poste de travail. Cet UPS devrait être dimensionné pour la charge qu'il est censé supporter en cas de panne de courant (en tenant compte de l'ordinateur, du moniteur et de tout autre appareil qui y est connecté) et être vérifié périodiquement dans le cadre de votre routine de maintenance préventive pour s'assurer que la batterie est opérationnelle. Vous devrez remplacer la batterie tous les quelques années pour maintenir l'UPS opérationnel.
    Un UPS vous permettra de continuer à fonctionner en l'absence de courant pendant une courte durée seulement. Pour une tolérance aux pannes dans des situations de plus longue durée, vous aurez besoin d'un générateur de secours. Les générateurs de secours fonctionnent à l'essence, au propane, au gaz naturel ou au diesel et génèrent l'électricité nécessaire pour fournir une alimentation stable. Bien que certains générateurs de secours puissent se mettre en marche instantanément en cas de coupure de courant, la plupart prennent un court instant pour chauffer avant de pouvoir fournir une alimentation constante. Par conséquent, vous constaterez que vous avez toujours besoin de mettre en place des UPS dans votre organisation.
  • Redundant Array of Independent Disks (RAID). RAID est une technologie qui utilise plusieurs disques pour fournir une tolérance aux pannes. Il existe plusieurs niveaux de RAID : RAID 0 (disques en bandes), RAID 1 (disques miroirs), RAID 3 ou 4 (disques en bandes avec parité dédiée), RAID 5 (disques en bandes avec parité distribuée), RAID 6 (disques en bandes avec double parité), RAID 1+0 (ou 10) et RAID 0+1. Vous pouvez en savoir plus à leur sujet dans cette liste des meilleures pratiques de sécurité des données.
  • Plan de reprise d'activité (PRA). Un plan de reprise d'activité aide une organisation à réagir efficacement lorsqu'une catastrophe se produit. Les catastrophes incluent les défaillances de systèmes, les pannes de réseau, les défaillances d'infrastructures et les catastrophes naturelles telles que les ouragans et les tremblements de terre. Un PRA définit des méthodes pour restaurer les services aussi rapidement que possible et protéger l'organisation contre des pertes inacceptables en cas de catastrophe.
    Dans une petite organisation, un plan de reprise d'activité peut être relativement simple et direct. Dans une grande organisation, cela pourrait impliquer plusieurs installations, des plans stratégiques d'entreprise et des départements entiers.
    Un plan de reprise d'activité devrait aborder l'accès et le stockage des informations. Votre plan de sauvegarde pour les données sensibles est une partie intégrante de ce processus.

F.A.Q.

Quels sont les composants de la triade CIA ?

  • Confidentialité: Les systèmes et les données sont accessibles uniquement aux utilisateurs autorisés.
  • Intégrité: Les systèmes et les données sont précis et complets.
  • Disponibilité: Les systèmes et les données sont accessibles lorsqu'ils sont nécessaires.

Pourquoi la triade CIA est-elle importante pour la sécurité des données ?

L'objectif ultime de la sécurité des données est d'assurer la confidentialité, l'intégrité et la disponibilité des données critiques et sensibles. Appliquer les principes de la triade CIA aide les organisations à créer un programme de sécurité efficace pour protéger leurs actifs précieux.

Comment peut-on appliquer la triade CIA dans la gestion des risques ?

Lors des évaluations des risques, les organisations mesurent les risques, menaces et vulnérabilités qui pourraient compromettre la confidentialité, l'intégrité et la disponibilité de leurs systèmes et données. En mettant en place des contrôles de sécurité pour atténuer ces risques, elles satisfont un ou plusieurs des principes fondamentaux de la triade CIA.

Comment la confidentialité des données peut-elle être compromise ?

La confidentialité exige de prévenir l'accès non autorisé aux informations sensibles. L'accès pourrait être intentionnel, comme un intrus pénétrant dans le réseau et lisant les informations, ou il pourrait être involontaire, en raison de la négligence ou de l'incompétence des individus manipulant les informations.

Quelles mesures peuvent aider à préserver la confidentialité des données ?

Une meilleure pratique pour la protection des données confidentielles consiste à chiffrer toutes les données sensibles et réglementées. Personne ne peut lire le contenu d'un document chiffré à moins d'avoir la clé de déchiffrement, donc le chiffrement protège contre les compromissions malveillantes et accidentelles de la confidentialité.

Comment l'intégrité des données peut-elle être compromise ?

L'intégrité des données peut être compromise aussi bien par des erreurs humaines que par des cyberattaques telles que les logiciels malveillants destructeurs et les rançongiciels.

Quelles mesures peuvent aider à préserver l'intégrité des données ?

Pour préserver l'intégrité des données, vous devez :

  • Empêchez les modifications des données par des utilisateurs non autorisés
  • Empêchez les modifications non autorisées ou involontaires des données par les utilisateurs autorisés
  • Assurez l'exactitude et la cohérence des données à travers des processus tels que la vérification des erreurs et la validation des données

Une meilleure pratique précieuse pour garantir l'exactitude des données est le file integrity monitoring (FIM). Le FIM aide les organisations à détecter les modifications inappropriées de fichiers critiques sur leurs systèmes en auditant toutes les tentatives d'accès ou de modification de fichiers et de dossiers contenant des informations sensibles, et en vérifiant si ces actions sont autorisées.

Comment la disponibilité des données peut-elle être compromise ?

Les menaces pour la disponibilité incluent des défaillances d'infrastructure telles que des problèmes de réseau ou de matériel ; des arrêts imprévus de logiciels ; une surcharge d'infrastructure ; des coupures de courant ; et des cyberattaques telles que les attaques par déni de service distribué (DDoS) ou les attaques par rançongiciel.

Quelles mesures peuvent aider à préserver la disponibilité des données ?

Il est important de déployer des protections contre les interruptions pour tous les systèmes nécessitant une disponibilité continue. Les options incluent la redondance matérielle, le basculement, le clustering et les sauvegardes régulières stockées dans un emplacement géographiquement distinct. De plus, il est crucial de développer et de tester un plan de reprise après sinistre complet.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Ryan Brooks

En savoir plus sur ce sujet

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité