Qu’est-ce que la triade de la CIA?
la sécurité de l’Information s’articule autour de trois principes clés: confidentialité, intégrité et disponibilité (CIA). Selon l’environnement, l’application, le contexte ou le cas d’utilisation, l’un de ces principes peut être plus important que les autres., Par exemple, pour une agence financière, la confidentialité des informations est primordiale, de sorte qu’elle crypterait probablement tout document Classifié transféré électroniquement afin d’empêcher des personnes non autorisées de lire son contenu. D’autre part, des organisations comme les marchés internet seraient gravement endommagées si leur réseau était hors service pendant une période prolongée, de sorte qu’elles pourraient se concentrer sur des stratégies pour assurer la haute disponibilité sur les préoccupations concernant les données cryptées.,
Confidentialité
Confidentialité concerne la prévention de l’accès non autorisé à des informations sensibles. L’accès peut être intentionnel, tel qu’un intrus pénétrant dans le réseau et lisant les informations, ou non intentionnel, en raison de la négligence ou de l’incompétence des personnes manipulant les informations. Les deux principaux moyens d’assurer la confidentialité sont la cryptographie et le contrôle d’accès.,
cryptographie
Le cryptage aide l’organisation à répondre au besoin de sécuriser les informations contre la divulgation accidentelle et les tentatives d’attaque internes et externes. L’efficacité d’un système cryptographique dans la prévention du déchiffrement non autorisé est appelée sa force. Un système cryptographique fort est difficile à casser. La force est également exprimée en facteur de travail, qui est une estimation de la quantité de temps et d’efforts qui seraient nécessaires pour briser un système.,
un système est considéré comme faible s’il autorise des clés faibles, présente des défauts dans sa conception ou est facilement déchiffré. De nombreux systèmes disponibles aujourd’hui sont plus que adéquats pour un usage professionnel et personnel, mais ils sont inadéquats pour des applications militaires ou gouvernementales sensibles. La cryptographie a des algorithmes symétriques et asymétriques.
algorithmes symétriques
les algorithmes symétriques exigent que l’expéditeur et le destinataire d’un message chiffré aient les mêmes algorithmes de clé et de traitement., Les algorithmes symétriques génèrent une clé symétrique (parfois appelée clé secrète ou clé privée) qui doit être protégée; si la clé est perdue ou volée, la sécurité du système est compromise. Voici quelques-unes des normes communes pour les algorithmes symétriques:
- Data Encryption Standard (DES). DES a été utilisé depuis le milieu des années 1970. pendant des années, il a été le principal standard utilisé dans le gouvernement et l’industrie, mais il est maintenant considéré comme non sécurisé en raison de sa petite taille de clé — il génère une clé 64 bits, mais huit de ces bits sont juste pour la correction d’erreur et seulement 56 bits sont, Maintenant, AES est la norme principale.
- Triple-DES (3DES). 3DES est une mise à niveau technologique de DES. 3DES est toujours utilisé, même si AES est le choix préféré pour les applications gouvernementales. 3DES est considérablement plus difficile à casser que de nombreux autres systèmes, et il est plus sûr que DES. Il augmente la longueur de la clé à 168 bits (en utilisant trois clés DES 56 bits).
- norme de cryptage avancée (AES). AES a remplacé DES en tant que norme utilisée par les agences gouvernementales américaines. Il utilise L’algorithme Rijndael, nommé d’après ses développeurs, Joan Daemen et Vincent Rijmen., AES prend en charge les tailles de clé de 128, 192 et 256 bits, avec 128 bits par défaut.
- Le Chiffre de Ron ou le code de Ron (RC). RC est une famille de chiffrement produite par RSA laboratories et nommée d’après son auteur, Ron Rivest. Les niveaux actuels sont RC4, RC5 et RC6. RC5 utilise une taille de clé allant jusqu’à 2 048 bits; il est considéré comme un système solide. RC4 est populaire avec le cryptage sans fil et WEP/WPA. C’est un chiffrement en continu qui fonctionne avec des tailles de clé comprises entre 40 et 2 048 bits, et il est utilisé dans SSL et TLS. Il est également populaire auprès des utilitaires; ils l’utilisent pour télécharger des fichiers torrent., De nombreux fournisseurs limitent le téléchargement de ces fichiers, mais en utilisant RC4 pour obscurcir l’en-tête et le flux, il est plus difficile pour le fournisseur de services de se rendre compte que ce sont des fichiers torrent qui sont déplacés.
- Blowfish et Twofish. Blowfish est un système de cryptage inventé par une équipe dirigée par Bruce Schneier qui effectue un chiffrement par bloc 64 bits à des vitesses très rapides. C’est un chiffrement par bloc symétrique qui peut utiliser des clés de longueur variable (de 32 bits à 448 bits). Twofish est assez similaire mais il fonctionne sur des blocs 128 bits. Sa particularité est qu’il a un calendrier clé complexe.,
- algorithme International de chiffrement des données (IDEA). IDEA a été développé par un consortium Suisse et utilise une clé de 128 bits. Ce produit est similaire en vitesse et en capacité à DES, mais il est plus sûr. IDEA est utilisé dans Pretty Good Privacy (PGP), un système de cryptage du domaine public que beaucoup de gens utilisent pour le courrier électronique.
- Une fois les plaquettes. Les pads uniques sont les seules implémentations cryptographiques vraiment complètement sécurisées. Ils sont si sûrs pour deux raisons. Tout d’abord, ils utilisent une clé aussi longue qu’un message en texte brut. Cela signifie qu’il n’y a pas de modèle dans l’application clé pour un attaquant à utiliser., Deuxièmement, une fois les touches sont utilisées qu’une seule fois et ensuite rejetées. Donc, même si vous pouviez casser un chiffrement de pavé unique, cette même clé ne serait plus jamais utilisée, donc la connaissance de la clé serait inutile.
ces Algorithmes Asymétriques
ces algorithmes Asymétriques utiliser deux clés: une clé publique et une clé privée. L’expéditeur utilise la clé publique pour chiffrer un message, et le récepteur utilise la clé privée pour déchiffrer le message. La clé publique peut être vraiment publique ou elle peut être un secret entre les deux parties. La clé privée, cependant, est gardée privée; seul le propriétaire (récepteur) la connaît., Si quelqu’un veut vous envoyer un message crypté, ils peuvent utiliser votre clé publique pour chiffrer le message, puis vous envoyer le message. Vous pouvez utiliser votre clé privée pour déchiffrer le message. Si les deux clés deviennent disponibles pour un tiers, le système de cryptage ne protégera pas la confidentialité du message. La vraie « magie” de ces systèmes est que la clé publique ne peut pas être utilisée pour déchiffrer un message. Si Bob envoie à Alice un message chiffré avec la clé publique D’Alice, peu importe si tout le monde sur Terre a la clé publique D’Alice, car cette clé ne peut pas déchiffrer le message., Voici quelques-unes des normes communes pour les algorithmes asymétriques:
- RSA. RSA est nommé d’après ses inventeurs, Ron Rivest, Adi Shamir et Leonard Adleman. L’algorithme RSA est un système de cryptage à clé publique précoce qui utilise de grands entiers comme base pour le processus. Il est largement mis en œuvre, et il est devenu une norme de facto. RSA fonctionne à la fois avec le cryptage et les signatures numériques. RSA est utilisé dans de nombreux environnements, y compris Secure Sockets Layer (SSL), et il peut être utilisé pour l’échange de clés.
- l’échange de clés Diffie-Hellman., Whitfield Diffie et Martin Hellman sont considérés comme les fondateurs du concept de clé publique/privée. Leur algorithme Diffie-Hellman est principalement utilisé pour générer une clé secrète partagée sur les réseaux publics. Le processus n’est pas utilisé pour chiffrer ou déchiffrer des messages; il est utilisé simplement pour la création d’une clé symétrique entre deux parties.
- cryptographie à courbe elliptique (EEC). ECC fournit des fonctionnalités similaires à RSA mais utilise des tailles de clé plus petites pour obtenir le même niveau de sécurité., Les systèmes de cryptage ECC sont basés sur l’idée d’utiliser des points sur une courbe combinés avec un point à l’infini et la difficulté de résoudre des problèmes de logarithme discret.
contrôle d’accès
Le cryptage est un moyen d’assurer la Confidentialité; une deuxième méthode est le contrôle d’accès. Il existe plusieurs approches du contrôle d’accès qui aident à la confidentialité, chacune avec ses propres forces et faiblesses:
- contrôle D’accès obligatoire (MAC). Dans un environnement MAC, toutes les capacités d’accès sont prédéfinies., Les utilisateurs ne peuvent pas partager des informations à moins que leurs droits de les partager ne soient établis par les administrateurs. Par conséquent, les administrateurs doivent apporter les modifications nécessaires à ces droits. Ce processus impose un modèle rigide de sécurité. Cependant, il est également considéré comme le modèle de cybersécurité le plus sécurisé.
- contrôle D’accès discrétionnaire (DAC). Dans un modèle de cad, les utilisateurs peuvent partager des informations de manière dynamique avec d’autres utilisateurs. La méthode permet un environnement plus flexible, mais elle augmente le risque de divulgation non autorisée d’informations., Les administrateurs ont plus de mal à s’assurer que seuls les utilisateurs appropriés peuvent accéder aux données.
- contrôle D’accès basé sur les rôles (RBAC). Le contrôle d’accès basé sur les rôles implémente le contrôle d’accès basé sur la fonction ou la responsabilité du travail. Chaque employé a un ou plusieurs rôles qui permettent d’accéder à des informations spécifiques. Si une personne passe d’un rôle à un autre, l’accès pour le rôle précédent ne sera plus disponible. Les modèles RBAC offrent plus de flexibilité que le modèle MAC et moins de flexibilité que le modèle DAC., Ils présentent toutefois l’avantage d’être strictement basés sur la fonction professionnelle plutôt que sur les besoins individuels.
- contrôle D’accès basé sur des règles (RBAC). Le contrôle d’accès basé sur des règles utilise les paramètres des stratégies de sécurité préconfigurées pour prendre des décisions concernant l’accès. Ces règles peuvent être configurées pour:
- refuser tous sauf ceux qui apparaissent spécifiquement dans une liste (une liste d’accès autorisé)
- refuser uniquement ceux qui apparaissent spécifiquement dans la liste (une vraie liste d’Accès refusé)
Les entrées dans la liste peuvent être des noms d’Utilisateur, des adresses IP, des noms, Les modèles basés sur des règles sont souvent utilisés conjointement avec des modèles basés sur des rôles pour obtenir la meilleure combinaison de sécurité et de flexibilité.
- contrôle D’accès basé sur les attributs (ABAC). ABAC est une méthode relativement nouvelle pour le contrôle d’accès définie dans NIST 800-162, définition de contrôle basée sur les attributs et considérations., Il s’agit d’une méthodologie de contrôle d’accès logique dans laquelle l’autorisation d’effectuer un ensemble d’opérations est déterminée en évaluant les attributs associés au sujet, à l’objet, aux opérations demandées et, dans certains cas, aux conditions environnementales par rapport à la stratégie de sécurité, aux règles ou aux relations qui décrivent les opérations autorisées pour un ensemble
- Les cartes à puce sont généralement utilisées à des fins de contrôle d’accès et de sécurité. La carte elle-même contient généralement une petite quantité de mémoire qui peut être utilisée pour stocker les autorisations et les informations d’accès.,
- Un jeton de sécurité a été à l’origine d’un périphérique matériel requis pour obtenir l’accès, tel qu’une carte d’accès sans fil ou une télécommande. Il existe maintenant également des implémentations logicielles de jetons. Les jetons contiennent souvent un certificat numérique utilisé pour authentifier l’utilisateur.,
intégrité
L’intégrité a trois objectifs qui aident à atteindre la sécurité des données:
- prévenir la modification des informations par des utilisateurs non autorisés
- prévenir la modification non autorisée ou non intentionnelle des informations par des utilisateurs autorisés
- préserver la cohérence interne et externe:
- cohérence interne — garantit la cohérence interne des données., Par exemple, dans une base de données d’organisation, le nombre total d’éléments appartenant à une organisation doit être égal à la somme des mêmes éléments affichés dans la base de données comme étant détenus par chaque élément de l’organisation.
- cohérence externe-garantit que les données stockées dans la base de données sont cohérentes avec le monde réel. Par exemple, le nombre total d’articles physiquement Assis sur l’étagère doit correspondre au nombre total d’articles indiqué par la base de données.,
diverses méthodes de cryptage peuvent aider à assurer l’intégrité en fournissant l’assurance qu’un message n’a pas été modifié pendant la transmission. La Modification pourrait rendre un message inintelligible ou, pire encore, inexact. Imaginez les conséquences graves si des modifications aux dossiers médicaux ou aux prescriptions de médicaments n’étaient pas découvertes. Si un message est altéré, le système de cryptage doit avoir un mécanisme pour indiquer que le message a été corrompu ou modifié.
le Hachage
l’Intégrité peut aussi être vérifiée à l’aide d’un algorithme de hachage., Essentiellement, un hachage du message est généré et ajouté à la fin du message. Le destinataire calcule le hachage du message qu’il a reçu et le compare au hachage qu’il a reçu. Si quelque chose a changé en transit, les hachages ne correspondent pas.
le hachage est une vérification d’intégrité acceptable pour de nombreuses situations. Cependant, si une partie interceptrice souhaite modifier un message intentionnellement et que le message n’est pas chiffré, un hachage est inefficace., La partie interceptrice peut voir, par exemple, qu’il y a un hachage de 160 bits attaché au message, ce qui suggère qu’il a été généré en utilisant SHA-1 (qui est discuté ci-dessous). Ensuite, l’intercepteur peut simplement modifier le message comme il le souhaite, supprimer le hachage SHA-1 d’origine et recalculer un hachage du message modifié.
algorithmes de hachage
les hachages utilisés pour stocker les données sont très différents des hachages cryptographiques. En cryptographie, une fonction de hachage doit avoir trois caractéristiques:
- Elle doit être unidirectionnelle. Une fois que vous Hachez quelque chose, vous ne pouvez pas le défaire.,
- L’entrée de longueur Variable produit une sortie de longueur fixe. Que vous hachiez deux caractères ou deux millions, la taille de hachage est la même.
- L’algorithme doit avoir peu ou pas de collisions. Le hachage de deux entrées différentes ne donne pas la même sortie.
Voici les algorithmes de hachage et les concepts connexes que vous devriez connaître:
- algorithme de hachage sécurisé (SHA). Initialement nommé Keccak, SHA a été conçu par Guido Bertoni, Joan Daemen, Michaël Peeters et Gilles Van Assche., SHA – 1 est un hachage unidirectionnel qui fournit une valeur de hachage de 160 bits pouvant être utilisée avec un protocole de cryptage. En 2016, des problèmes avec SHA-1 ont été découverts; il est maintenant recommandé D’utiliser SHA-2 à la place. SHA-2 peut produire des hachages de 224, 256, 334 et 512 bits. Il n’y a pas de problèmes connus avec SHA-2, Il est donc toujours l’algorithme de hachage le plus largement utilisé et recommandé. SHA-3 a été publié en 2012 et est largement applicable mais pas largement utilisé. Cela n’est pas dû à des problèmes avec SHA-3, mais plutôt au fait que SHA-2 est parfaitement correct.
- algorithme de synthèse des messages (MD)., MD est un autre hachage à sens unique qui crée une valeur de hachage utilisée pour aider à maintenir l’intégrité. Il existe plusieurs versions de MD; les plus courantes sont MD5, MD4 et MD2. MD5 est la dernière version de l’algorithme; il produit un hachage de 128 bits. Bien qu’il soit plus complexe que ses prédécesseurs MD et offre une plus grande sécurité, il n’a pas de forte résistance aux collisions et n’est donc plus recommandé. SHA (2 ou 3) sont les alternatives recommandées.
- COURSE de l’Intégrité des Primitives d’Évaluation Message Digest (RIPEMD). RIPEMD était basé sur MD4., Il y avait des questions concernant sa sécurité, et il a été remplacé par RIPEMD-160, qui utilise 160 bits. Il existe également des versions qui utilisent 256 et 320 bits (RIPEMD-256 et RIPEMD-320, respectivement).
- GOST est un chiffrement symétrique développé dans l’ancienne Union Soviétique qui a été modifié pour fonctionner comme une fonction de hachage. GOST traite un message de longueur variable en une sortie de longueur fixe de 256 bits.
- avant la sortie de Windows NT, les systèmes D’exploitation de Microsoft utilisaient le protocole LANMAN pour l’authentification., Tout en fonctionnant uniquement en tant que protocole d’authentification, LANMAN a utilisé le hachage LM et deux clés DES. Il a été remplacé par le NT LAN Manager (NTLM) avec la sortie de Windows NT.
- Microsoft a remplacé le protocole LANMAN par NTLM (NT LAN Manager) avec la sortie de Windows NT. NTLM utilise des algorithmes de hachage MD4/MD5. Plusieurs versions de ce protocole existent (NTLMv1 et NTLMv2), et il est encore largement utilisé malgré le fait que Microsoft ait nommé Kerberos son protocole d’authentification préféré., Bien que LANMAN et NTLM utilisent tous deux le hachage, ils sont principalement utilisés à des fins d’authentification.
- une méthode courante de vérification de l’intégrité consiste à ajouter un code d’authentification de message (MAC) au message. Un MAC est calculé en utilisant un chiffrement symétrique en mode de chaînage de blocs de chiffrement (CBC), seul le bloc final étant produit. Essentiellement, la sortie du CBC est utilisée comme la sortie d’un algorithme de hachage. Cependant, contrairement à un algorithme de hachage, le chiffrement nécessite une clé symétrique qui est échangée entre les deux parties à l’avance.,
- HMAC (code d’authentification de message basé sur le hachage) utilise un algorithme de hachage avec une clé symétrique. Ainsi, par exemple, deux parties conviennent d’utiliser un hachage MD5. Une fois le hachage calculé, il est exclusivement OR’d (XOR) avec le digest, et cette valeur résultante est le HMAC.
ligne de base
L’établissement d’une ligne de base (configuration, ligne de base, Ligne de base des systèmes, ligne de base de l’activité) est une stratégie importante pour la mise en réseau sécurisée. Essentiellement, vous trouvez une ligne de base que vous considérez comme sécurisée pour un système, un ordinateur, une application ou un service donné., Certes, une sécurité absolue n’est pas possible — l’objectif est suffisamment sécurisé, en fonction des besoins de sécurité et de l’appétit pour le risque de votre organisation. Tout changement peut être comparé à la ligne de base pour voir si le changement est suffisamment sécurisé. Une fois qu’une ligne de base est définie, l’étape suivante consiste à surveiller le système pour s’assurer qu’il ne s’est pas écarté de cette ligne de base. Ce processus est défini comme la mesure de l’intégrité.
disponibilité
La disponibilité garantit que les utilisateurs autorisés d’un système ont un accès rapide et ininterrompu aux informations du système et du réseau., Voici les méthodes pour atteindre la disponibilité:
- allocation Distributive. Communément appelée équilibrage de charge, l’allocation distributive permet de répartir la charge (demandes de fichiers, routage de données, etc.) afin qu’Aucun périphérique ne soit trop surchargé.
- Haute disponibilité (HA). La haute disponibilité fait référence aux mesures utilisées pour maintenir les services et les systèmes d’information opérationnels pendant une panne. L’objectif de L’AP est souvent d’avoir des services clés disponibles 99,999 pour cent du temps (connu sous le nom de disponibilité « cinq neuf”)., Les stratégies HA comprennent la redondance et le basculement, qui sont discutés ci-dessous.
- la Redondance. La redondance fait référence aux systèmes qui sont dupliqués ou qui basculent vers d’autres systèmes en cas de dysfonctionnement. Le basculement se réfère au processus de reconstruction d’un système ou d’opter pour d’autres systèmes lorsqu’une défaillance est détectée. Dans le cas d’un serveur, le serveur passe à un serveur redondant lorsqu’un défaut est détecté. Cette stratégie permet au service de continuer sans interruption jusqu’à ce que le serveur principal puisse être restauré., Dans le cas d’un réseau, cela signifie que le traitement bascule vers un autre chemin réseau en cas de défaillance du réseau dans le chemin principal.
Les systèmes de basculement peuvent être coûteux à mettre en œuvre. Dans un grand réseau d’entreprise ou un environnement de commerce électronique, un basculement peut entraîner le basculement de tous les traitements vers un emplacement distant jusqu’à ce que votre installation principale soit opérationnelle. Le site principal et le site distant synchroniseraient les données pour s’assurer que les informations sont aussi à jour que possible.,
de nombreux systèmes d’exploitation, tels que Linux, Windows Server et Novell Open Enterprise Server, sont capables de se regrouper pour fournir des capacités de basculement. Le Clustering implique plusieurs systèmes connectés ensemble en coopération (ce qui fournit un équilibrage de charge) et mis en réseau de telle sorte que si l’un des systèmes tombe en panne, les autres systèmes prennent le relais et continuent à fonctionner. La capacité globale du cluster de serveurs peut diminuer, mais le réseau ou le service restera opérationnel., Pour apprécier la beauté du clustering, contemplez le fait que C’est la technologie sur laquelle Google est construit. Non seulement le clustering vous permet d’avoir une redondance, mais il vous offre également la possibilité d’évoluer à mesure que la demande augmente.
La Plupart Des FAI et des fournisseurs de réseau ont une capacité de basculement interne étendue pour fournir une haute disponibilité aux clients. Les clients commerciaux et les employés qui ne peuvent pas accéder à l’information ou aux services ont tendance à perdre confiance.
Le compromis pour la fiabilité et la fiabilité, bien sûr, est le coût: les systèmes de basculement peuvent devenir prohibitifs., Vous devrez étudier attentivement vos besoins pour déterminer si votre système nécessite cette capacité. Par exemple, si votre environnement nécessite un haut niveau de disponibilité, vos serveurs doivent être regroupés. Cela permettra aux autres serveurs du réseau pour prendre la charge si l’un des serveurs dans le cluster échoue. - tolérance de Panne. La tolérance aux pannes est la capacité d’un système à soutenir des opérations en cas de défaillance d’un composant. Les systèmes tolérants aux pannes peuvent continuer à fonctionner même si un composant critique, tel qu’un lecteur de disque, a échoué., Cette capacité implique une sur-Ingénierie des systèmes en ajoutant des composants et des sous-systèmes redondants pour réduire le risque de temps d’arrêt. Par exemple, la tolérance aux pannes peut être intégrée à un serveur en ajoutant une deuxième alimentation, un deuxième processeur et d’autres composants clés. La plupart des fabricants (tels que HP, Sun et IBM) proposent des serveurs tolérants aux pannes; ils ont généralement plusieurs processeurs qui basculent automatiquement en cas de dysfonctionnement.
Il y a deux éléments clés de la tolérance aux pannes que vous ne devriez jamais négliger: les pièces de rechange et l’alimentation électrique., Les pièces de rechange doivent toujours être facilement disponibles pour réparer tout composant critique du système en cas de défaillance. La stratégie de redondance « N + 1 » signifie que vous avez le nombre de composants dont vous avez besoin, plus un à brancher sur n’importe quel système Si cela est nécessaire. Étant donné que les systèmes informatiques ne peuvent pas fonctionner en l’absence de courant électrique, il est impératif que la tolérance aux pannes soit également intégrée à votre infrastructure électrique. Au minimum, une alimentation sans coupure (UPS) avec protection contre les surtensions doit accompagner chaque serveur et poste de travail., Que L’onduleur doit être évalué pour la charge qu’il est censé supporter en cas de panne de courant (Prise en compte de l’ordinateur, du moniteur et de tout autre appareil connecté) et être vérifié périodiquement dans le cadre de votre routine de maintenance préventive pour vous assurer que la batterie est opérationnelle. Vous devrez remplacer la batterie toutes les quelques années pour maintenir L’onduleur opérationnel.
UN ONDULEUR, vous permettra de continuer à fonctionner en l’absence d’alimentation pour une courte durée. Pour la tolérance aux pannes dans des situations de plus longue durée, vous aurez besoin d’un générateur de secours., Les générateurs de secours fonctionnent à l’essence, au propane, au gaz naturel ou au diesel et produisent l’électricité nécessaire pour fournir une alimentation stable. Bien que certains générateurs de secours puissent s’allumer instantanément en cas de panne de courant, la plupart prennent peu de temps pour se réchauffer avant de pouvoir fournir une alimentation constante. Par conséquent, vous constaterez que vous devez toujours implémenter des ASI dans votre organisation. - réseau redondant de disques indépendants (RAID). RAID est une technologie qui utilise plusieurs disques pour fournir une tolérance aux pannes., Il existe plusieurs niveaux RAID: RAID 0 (disques rayés), RAID 1 (disques en miroir), RAID 3 ou 4 (disques rayés avec parité dédiée), RAID 5 (disques rayés avec parité distribuée), RAID 6 (disques rayés avec double parité), RAID 1+0 (ou 10) et RAID 0+1. Vous pouvez en savoir plus à leur sujet dans cette liste des meilleures pratiques en matière de sécurité des données.
- Plan de reprise après sinistre (DR). Un plan de reprise après sinistre aide une organisation à réagir efficacement en cas de sinistre. Les catastrophes comprennent les défaillances du système, les défaillances du réseau, les défaillances de l’infrastructure et les catastrophes naturelles telles que les ouragans et les tremblements de terre., Un plan de RD définit des méthodes pour rétablir les services le plus rapidement possible et protéger l’organisation contre les pertes inacceptables en cas de catastrophe.
Dans Une petite organisation, un plan de reprise après sinistre peut être relativement simple et direct. Dans une organisation plus grande, cela pourrait impliquer plusieurs installations, des plans stratégiques d’entreprise et des départements entiers.
Un plan de reprise après sinistre devrait traiter de l’accès à l’information et de son stockage. Votre plan de sauvegarde des données sensibles fait partie intégrante de ce processus.
F. A. Q.
Quelles sont les composantes de la CIA à la triade?,
- confidentialité: les systèmes et les données ne sont accessibles qu’aux utilisateurs autorisés.
- intégrité: les systèmes et les données sont exacts et complets.
- Disponibilité: les Systèmes et les données sont accessibles lorsqu’ils sont nécessaires.
pourquoi la triade de la CIA est-elle importante pour la sécurité des données?
l’objectif ultime de la sécurité des données est d’assurer la confidentialité, l’intégrité et la disponibilité des données critiques et sensibles. L’application des principes de la triade de la CIA aide les organisations à créer un programme de sécurité efficace pour protéger leurs biens précieux.,
comment la triade CIA peut-elle être appliquée à la gestion des risques?
Au cours des évaluations des risques, les organisations mesurent les risques, les menaces et les vulnérabilités qui pourraient compromettre la confidentialité, l’intégrité et la disponibilité de leurs systèmes et données. En mettant en œuvre des contrôles de sécurité pour atténuer ces risques, ils satisfont à un ou plusieurs des principes fondamentaux de la triade de la CIA.
comment la confidentialité des données peut-elle être compromise?
la confidentialité exige d’empêcher l’accès non autorisé aux informations sensibles., L’accès peut être intentionnel, tel qu’un intrus pénétrant dans le réseau et lisant les informations, ou non intentionnel, en raison de la négligence ou de l’incompétence des personnes manipulant les informations.
Quelles mesures peuvent aider à préserver la confidentialité des données?
Une bonne pratique pour protéger la confidentialité des données consiste à crypter toutes les données sensibles et réglementées. Personne ne peut lire le contenu d’un document crypté à moins d’avoir la clé de déchiffrement, de sorte que le cryptage protège contre les compromissions malveillantes et accidentelles de la confidentialité.,
comment l’intégrité des données peut-elle être compromise?
l’intégrité des données peut être compromise à la fois par des erreurs humaines et des cyberattaques telles que des logiciels malveillants destructeurs et des ransomwares.
Quelles mesures peuvent aider à préserver l’intégrité des données?,
pour préserver l’intégrité des données, vous devez:
- empêcher les modifications des données par des utilisateurs non autorisés
- empêcher les modifications non autorisées ou involontaires des données par des utilisateurs autorisés
- assurer l’exactitude et la cohérence des données grâce à des processus tels que la vérification des erreurs et, FIM aide les organisations à détecter les modifications inappropriées apportées aux fichiers critiques de leurs systèmes en vérifiant toutes les tentatives d’accès ou de modification de fichiers et de dossiers contenant des informations sensibles et en vérifiant si ces actions sont autorisées.
comment la disponibilité des données peut-elle être compromise?
Les menaces à la disponibilité comprennent les pannes d’infrastructure telles que les problèmes de réseau ou de matériel; les temps d’arrêt non planifiés des logiciels; la surcharge de l’infrastructure; les pannes de courant; et les cyberattaques telles que les attaques DDoS ou ransomware.
Quelles mesures peuvent aider à préserver la disponibilité des données?,
Il est important de déployer des protections contre les interruptions de tous les systèmes nécessitant une disponibilité continue. Les Options incluent la redondance matérielle, le basculement, le clustering et les sauvegardes de routine stockées dans un emplacement géographiquement séparé. En outre, il est essentiel d’élaborer et de tester un plan de reprise après sinistre complet.
Produit Évangéliste à Netwrix Corporation, écrivain et présentateur. Ryan se spécialise dans l’évangélisation de la cybersécurité et la promotion de l’importance de la visibilité sur les changements informatiques et l’accès aux données., En tant qu’auteur, Ryan se concentre sur les tendances de la sécurité informatique, les enquêtes et les informations sur l’industrie.