Temps de lecture : 5 min
Une donnée, dans le monde informatique, est une information qui peut être stockée ou traitée numériquement.
Un des principaux objectifs de la cyber sécurité est avant tout de protéger les données de l’entreprise ou d’un individu.
Nous allons étudier dans cette leçon les critères permettant de classifier ces données afin de mettre en place des solutions de protection adéquates.
La triade “DIC”, ou “CIA” en anglais, est constituée des trois principaux critères nécessaires à l’évaluation de la sensibilité des données.
Le critère de disponibilité évalue la garantie d’avoir accès à la donnée lorsqu’on en a besoin.
💡 Exemple : Lorsqu’un traitement automatisé va récupérer les données d’absence d’un salarié afin de calculer son salaire du mois, les données doivent être disponibles à chaque lancement du traitement, sinon il échoue.
Le critère d’intégrité évalue la garantie que l’état de la donnée n’a pas été modifié par rapport à son état original.
💡 Exemple : Dans une boutique en ligne, on ne doit pas pouvoir modifier les prix des produits disponibles si l’on est un client.
Le critère de confidentialité évalue la garantie que l’accès à la donnée est réalisé uniquement par quelqu’un ou quelque chose qui a le droit d’y accéder (besoin d’en connaître).
💡 Exemple : Les motifs d’arrêt maladie doivent être consultables par le personnel habilité de l’assurance maladie, mais pas par l’employeur.
Bien que la triade DIC nous permette d’évaluer la sensibilité de la donnée afin d’y appliquer les justes mécanismes de protection, cette triade peut être étendue grâce à deux nouveaux critères.
Ces critères vont nous permettre en plus de la protection de la donnée, de nous faciliter le travail en cas d’incident impliquant ces données.
Le critère de traçabilité évalue la garantie de connaître de manière datée tout ce qui a pu se produire, qu’il s’agisse de l’accès à la donnée ou de sa modification.
💡 Exemple : Lorsqu’un programme va consulter une donnée stockée dans une base de données, un journal de toutes les consultations, contenant l’heure et la donnée accédée, est conservé sur le serveur de base de données.
Le critère de non répudiation évalue la garantie de savoir qui a effectué une action sur une donnée, sans que celui-ci puisse remettre en question cette affirmation. C’est une extension de la traçabilité, ajoutant une notion d’identification.
💡 Exemple : Si j’utilise la signature numérique dans un document et que je transmets ce document à une personne, je ne peux plus nier avoir produit ce document.
Nous avons vu dans cette leçon que pour nous aider à classifier des données, nous pouvons compter sur différents critères d’évaluation.
Il existe trois critères principaux pour la classification des données (disponibilité, intégrité et confidentialité) et ces critères peuvent être complétés par la traçabilité et la non répudiation.
Une fois nos données correctement classifiées, nous saurons alors plus facilement quels sont les bons mécanismes de protection à mettre en œuvre, et comment réagir en cas d’incident concernant ces données.
Commencez votre formation en cybersécurité !
100% en ligne
Théorie & Pratique
Personnalisé par niveau
Commencez votre formation en cybersécurité
Formation
Carrière
Cybersécurité
100% en ligne
Donnez un nouveau souffle à votre carrière avec nos formations cybersécurité
La certification qualité a été délivrée au titre de la catégorie
« ACTIONS FORMATION »
© Seela – 24/11/2022
Organisme de formation
N°11755030075
Cet enregistrement ne vaut pas agrément de l’Etat.
Le certificat Qualiopi est disponible sur ce lien
A propos
Ressources