Confidentialité, Intégrité et Disponibilité : ou mettre la priorité ?

Confidentialité, Intégrité et Disponibilité : ou mettre la priorité ?

La cyber-sécurité est basée sur trois piliers principaux : la confidentialité, l’intégrité et la disponibilité. Chaque outil déployé et chaque procédure mise en place répond toujours à au moins un de ces éléments.

  • La confidentialité a pour but de s’assurer qu’une information n’est accessible qu’aux personnes autorisées.
  • L’intégrité a pour but de s’assurer qu’une donnée reste exacte et consistante à travers son cycle de vie.
  • La disponibilité a pour but de s’assurer qu’un système ou une donnée soit accessible en un temps défini.
Historiquement la majorité des efforts ont été mis sur la confidentialité. L’armée a toujours voulu s’assurer que leur communication reste secrète, les banques veulent assurer le secret professionnel et l’industrie veut protéger ses secrets de production. Il y a donc beaucoup de recherches faites sur les systèmes cryptographiques permettant de garantir un certain niveau de confidentialité dans le stockage et l'échange des informations.

Depuis quelques années nous avons remarqué que les hackeurs s’intéressent plus à compromettre la disponibilité des données. En effet, ces derniers pouvaient difficilement rentabiliser une brèche de confidentialité, ils ont donc préféré en empêcher l’accès. Par exemple les ransomwares ont comme seul but de bloquer au propriétaire l’accès à ses données, ou encore les attaques DDOS qui rendent un système informatique terriblement lent voir même inaccessible. En s’attaquant à la disponibilité des données plutôt qu’à sa confidentialité, un hackeur mise sur la valeur qu’une de vos données a pour vous en tant que propriétaire plutôt que sa valeur de revente ou de publication à de tierces personnes.

Je suis personnellement convaincu que le pilier le plus important est néanmoins l’intégrité d’une donnée. Prenons l’exemple d’un pilote militaire lors d’une opération. Si la confidentialité d’une transmission est corrompue par un adversaire, ce dernier pourrait avoir connaissance de la mission d’avance et le pilote risquerai de prendre l’avantage tactique et l’effet de surprise. Si la disponibilité est corrompue, le pilote risquerait de ne pas recevoir des mises à jour sur sa mission et ne pourrait pas synchroniser son opération avec ses collègues. Si l’intégrité est corrompue, un ennemi pourrait envoyer des informations fictives au pilote lui indiquant de mener son attaque sur des innocents ou des infrastructures alliées. Dans cet exemple, la corruption de l’intégrité est le pire des trois scénarios.

Prenons aussi l’exemple de Stuxnet, ce malware conçu par les Etats-Unis et Israël pour attaquer les centrifugeuses Iraniennes. Le but de ce vers n’était pas de voler des informations sur leur développement nucléaire, ni de rendre leur système indisponible ; mais de reprogrammer des contrôleurs industriels pour que la vitesse de rotation des centrifugeuses soient modifiées. Etant donné que l’intégrité de l’information était en cause, les ingénieurs ne pouvaient pas se rendre compte que les turbines tournaient trop rapidement.

Imaginez que lors des Panama Papers, le hackeur décide de rajouter dans les milliers de documents légitimes une information fausse ou incorrecte sur l’un de ses ennemi. Ce dernier aura beaucoup de mal à clamer son innocence car l’information semblerai légitime.

Il est à mon sens pire d’avoir accès à une formation qui n’est pas correcte plutôt que de ne pas avoir accès à une information du tout.

Avec nos systèmes qui sont de plus en plus connectés et avec l’internet des choses (IoT) qui automatise de plus en plus d’actions, il va devenir fondamental que nos outils puissent assurer l’intégrité de leurs données et communications. Les véhicules autonomes vont bientôt scionner nos rues et si l’information qu’elles reçoivent sur leur environnement est fausse, nous courrons à la catastrophe.

Il y a peu de recherches faites actuellement sur les outils et les procédures pour garantir l’intégrité des données échangées dans un système distribué. Cependant, un outil qui n’est actuellement pas conçu dans ce but pourrait fournir une réponse : les blockchains.

La technologie des blockchains offre une intégrité complète des transactions empêchant qu’une action soit faites en double, révoquée ou falsifiée. Des entreprises telles que Factom développent justement des solutions afin de garantir l’intégrité des données

ZENData peut vous aider lors de la conception de votre système informatique à offrir la confidentialité, l’intégrité et la disponibilité de vos données afin que vous puissiez travailler de façon sereine et confiante.

Tweets de ZENData

Les mots de passe : tout le monde les connait et tout le monde les déteste ! Découvrez comment ils se font hacker… https://t.co/aAFsPmFn6Y
RT @RobertMLee: If Kaspersky software is “confirmed as malicious” (EU Parliament) I would hope there would be some public evidence present…
RT @nxsolle: My colleague Pasi and I will show everyone how to unlock BitLocker on modern PCs at SEC-T in September. Cold Boot attacks made…
RT @Anouch: Certes, le RGPD semble être une usine à gaz. Mais il va accroître la protection des internautes. Manifestement, @nantermod n’y…
RT @lorenzoFB: New: Apple put USB Restricted Mode in both iOS 11.4.1 beta and iOS 12 beta. And now it's triggered after 1 HOUR of phone not…

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: www.bilan.ch/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

14+11=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.