Aller au contenu principal

Le triangle CIA

Confidentialité, Intégrité, Disponibilité

Notions théoriques

Le modèle CIA (Confidentialité, Intégrité, Disponibilité) est un concept fondamental en cybersécurité qui définit 3 piliers essentiels pour protéger les données et les systèmes informatiques.

Le triangle CIA

Le modèle CIA est souvent représenté sous forme d'un triangle (appelé le triangle CIA) où chaque côté représente un pilier de la sécurité.

CIA Triangle

Le modèle CIA est un cadre fondamental en cybersécurité qui repose sur 3 principes clés pour garantir la protection des systèmes et des données :

  1. Confidentialité (Confidentiality) → Empêcher l'accès non autorisé aux données.

  2. Intégrité (Integrity) → Garantir que les données ne sont pas modifiées ou altérées sans autorisation.

  3. Disponibilité (Availability) → Assurer que les systèmes et les données sont accessibles aux utilisateurs légitimes quand ils en ont besoin.

Extension du modèle CIA

Certains experts ajoutent un 4ème principe clé :

  • la Preuve (Accountability) pour garantir la traçabilité des actions sur un système.

Cela permet de savoir qui a fait quoi et quand, ce qui est crucial pour les audits et les enquêtes en cas d'incident.

1. Confidentiality

La confidentialité garantit que seules les personnes autorisées peuvent accéder aux informations. Elle repose sur des mécanismes comme :

  • Le chiffrement : transformation des données pour les rendre illisibles sans clé (ex : AES, RSA).
  • Le contrôle d'accès : restriction des accès selon les rôles des utilisateurs.
  • L'authentification : vérification de l'identité des utilisateurs (ex : mot de passe, biométrie, 2FA).

Exemples d'attaques impactant la confidentialité :

  • Interception de données (ex : attaque Man-in-the-Middle).
  • Vol de mots de passe (ex : phishing).

2. Integrity

L’intégrité assure que les données ne sont ni modifiées ni corrompues de manière non autorisée. Elle repose sur :

  • Les fonctions de hachage (ex : SHA-256, bcrypt) pour vérifier l'intégrité des fichiers et des messages.
  • Les signatures numériques pour authentifier l'origine et l'intégrité d’un document.
  • Les contrôles d’accès pour empêcher les modifications non autorisées.

Exemples d'attaques impactant l'intégrité :

  • Modification de données (ex : injection SQL, altération de fichiers).
  • Corruption de bases de données par des attaques internes ou externes.

3. Availability

La disponibilité garantit que les systèmes et les données restent accessibles aux utilisateurs autorisés en permanence. Elle repose sur :

  • Les sauvegardes régulières pour restaurer les données en cas d’attaque ou de panne.
  • Les protections contre les attaques DDoS (ex : pare-feu, systèmes anti-DDoS).
  • La redondance des systèmes (ex : serveurs de secours, RAID).

Exemples d'attaques impactant la disponibilité :

  • Attaques DDoS : surcharge des serveurs pour les rendre inaccessibles.
  • Pannes matérielles : absence de redondance ou de sauvegarde.

Exemple pratique

Mise en application du modèle CIA dans un site Web

Imaginons que nous gérons un site e-commerce.

Voici comment nous appliquons le modèle CIA :

  1. Confidentialité

    • Les mots de passe des utilisateurs sont stockés avec un hachage sécurisé (bcrypt).
    • Le site utilise HTTPS avec un certificat SSL/TLS pour chiffrer les communications.
    • L’accès à l’interface d’administration est restreint par une authentification forte (2FA).

  2. Intégrité

    • Chaque commande passée est enregistrée avec une signature numérique pour éviter la falsification.
    • Les fichiers du site sont surveillés par un système de détection d’altération.
    • Une base de données en lecture seule est utilisée pour éviter les modifications non autorisées.

  3. Disponibilité

    • Un système de sauvegarde automatique est mis en place pour récupérer les données en cas de panne.
    • Un pare-feu et un système anti-DDoS protègent le site contre les attaques visant à le rendre inaccessible.
    • Un serveur de secours est prêt à prendre le relais en cas de panne du serveur principal.

Test de mémorisation/compréhension


Quel est le rôle principal de la confidentialité dans le modèle CIA ?


Quelle technique est utilisée pour garantir la confidentialité des communications sur un site Web ?


Quelle attaque compromet l'intégrité des données ?


Quel mécanisme permet de vérifier qu'un fichier n'a pas été altéré ?


Quel type d'attaque vise à rendre un service indisponible ?


Quel élément ne contribue PAS à la disponibilité d'un système ?


Pourquoi utilise-t-on bcrypt pour stocker les mots de passe ?


Quel est le rôle d'un pare-feu dans la cybersécurité ?


Quelle est la meilleure solution pour garantir la disponibilité des données en cas de panne ?


Que permet une signature numérique ?


Quel pilier du modèle CIA est menacé lorsqu’un attaquant intercepte des communications non chiffrées ?


Quelle méthode est utilisée pour vérifier qu’un fichier n’a pas été modifié sans autorisation ?


Quel type d’attaque surcharge un serveur pour compromettre sa disponibilité ?


Quelle mesure protège la confidentialité des mots de passe dans une base de données ?


Quel mécanisme empêche les modifications non autorisées des données sur un site Web ?


Dans le contexte du modèle CIA, quel est l’objectif principal d’un certificat SSL/TLS ?


Quel pilier est compromis si un attaquant altère les données d’une commande sur un site e-commerce ?


Quelle technologie permet de garantir l’intégrité et l’authenticité d’un document envoyé par email ?


Quelle solution améliore la disponibilité d’un serveur Web en cas de panne matérielle ?


Quelle attaque peut à la fois voler des informations et modifier des données dans une base de données ?