Le principe même de la sécurité informatique repose sur 3 fondements mémorisés sous l’acronyme CID ou – sans mauvais jeu de mots : CIA en anglais : confidentialité, intégrité et/ou disponibilité. Et ils sont, depuis toujours, les principaux objectifs de tout projet de sécurité informatique.
Au fur et à mesure que le domaine gagnait en maturité, les concepts de non-répudiation et d’authentification et traçabilité sont également venus s’y ajouter.
Avec l’objectif de confidentialité, il s’agit de rendre l’information et la communication inintelligibles à toute personne et système externes à celle-ci.
Ainsi, seules les personnes autorisées doivent être en mesure de lire le contenu des données ou de participer à la communication réseau concernée. Et, un exemple concret est le chiffrement d’un fichier stocké sur un système de fichiers. Seules les personnes possédant la clé privée, permettant le déchiffrement, pourront accéder au contenu du fichier.
Elle consiste à s’assurer que les données ne soient pas altérées durant la communication, que cela soit fait intentionnellement ou non. Le principe de la signature des emails à l’aide d’un certificat électronique représente bien ce principe. Si un e-mail a été altéré après avoir été signé, le destinataire de celui-ci verra une alerte s’afficher lorsqu’il l’ouvrira dans son client de messagerie.
Cet objectif porte sur l’accès à un service, à une application, au réseau ou à une donnée à tout temps en fonction des besoins. Il donc est inhérent aux principes de sauvegarde, de haute disponibilité et de mise en place d’un plan de continuité (BCP ou DRP en anglais). D’où l’importance des dispositifs de sécurité afin de garantir cette disponibilité des installations.
l’authentification consiste à s’assurer que seules les personnes dûment autorisées aient accès aux données et/ou aux ressources souhaitées. Le but étant d’identifier de manière unique et sans équivoque qu’un individu est bien celui qu’il prétend être. Nous retrouvons ici des concepts d’authentification forte (ou à double facteur), de biométrie et de PKI.
Elle a pour objectif de s’assurer que l’émetteur d’une information ne puisse pas nier qu’il est bien à l’origine de celle-ci. Un exemple très concret est la signature d’un e-mail, d’un document ou d’un certificat. Seule la personne possédant la clé privée correspondant à la signature, déposée sur un e-mail, serait en mesure d’émettre cet e-mail signé. Il ne lui est donc pas possible de nier en être l’émetteur, sauf dans le cas où il aurait partagé cette clé privée (censée être personnelle) à un tiers.