La triade CIA
Les trois piliers de la sécurité de l'information :
| Pilier | Objectif | Menaces |
|---|---|---|
| Confidentialité | Seules les personnes autorisées accèdent aux données | Interception, fuite de données, accès non autorisé |
| Intégrité | Les données ne sont pas modifiées sans autorisation | Falsification, corruption, injection |
| Disponibilite | Les services restent accessibles | DDoS, panne, ransomware |
Défense en profondeur
Superposer plusieurs couches de sécurité pour qu'un échec unique ne compromette pas le système.
┌─────────────────────────────────────┐
│ Politiques & │
│ Procédures │
│ ┌───────────────────────────────┐ │
│ │ Sécurité physique │ │
│ │ ┌─────────────────────────┐ │ │
│ │ │ Périmètre réseau │ │ │
│ │ │ ┌───────────────────┐ │ │ │
│ │ │ │ Réseau interne │ │ │ │
│ │ │ │ ┌─────────────┐ │ │ │ │
│ │ │ │ │ Hôte │ │ │ │ │
│ │ │ │ │ ┌────────┐ │ │ │ │ │
│ │ │ │ │ │ Données │ │ │ │ │ │
│ │ │ │ │ └────────┘ │ │ │ │ │
│ │ │ │ └─────────────┘ │ │ │ │
│ │ │ └───────────────────┘ │ │ │
│ │ └─────────────────────────┘ │ │
│ └───────────────────────────────┘ │
└─────────────────────────────────────┘
Principe du moindre privilege
Chaque utilisateur, processus ou service ne doit avoir que les permissions strictement nécessaires.
- Utilisateurs : pas d'accès admin par défaut
- Applications : droits minimaux sur la base de données
- Conteneurs : pas de
root, capabilities limitées - IAM : politiques spécifiques, pas de
*wildcards
Zero Trust
"Ne jamais faire confiance, toujours vérifier."
| Principe | Application |
|---|---|
| Vérifier explicitement | Authentification forte à chaque requête |
| Moindre privilège | Accès juste-à-temps, juste-assez |
| Presumer la compromission | Segmentation, chiffrement, monitoring |
Modèles de menaces
STRIDE (Microsoft)
| Menace | Description | Contre-mesure |
|---|---|---|
| Spoofing | Usurpation d'identité | Authentification forte, MFA |
| Tampering | Modification de données | Signatures, checksums, intégrité |
| Repudiation | Nier une action | Journalisation, audit trail |
| Information disclosure | Fuite de données | Chiffrement, contrôle d'accès |
| Denial of service | Rendre un service indisponible | Rate limiting, CDN, auto-scaling |
| Elevation of privilege | Obtenir des droits supérieurs | Moindre privilège, sandboxing |
Types d'attaquants
| Type | Motivation | Ressources | Exemple |
|---|---|---|---|
| Script kiddie | Curiosité, réputation | Faibles | Outils automatisés |
| Hacktiviste | Idéologie | Moyennes | Anonymous |
| Cybercriminel | Profit financier | Élevées | Ransomware gangs |
| APT (Etat) | Espionnage, sabotage | Très élevées | Nation-state actors |
| Insider | Vengeance, profit | Variables | Employé malveillant |
Bonnes pratiques universelles
- MFA partout : authentification multi-facteurs obligatoire
- Chiffrement : au repos et en transit (TLS 1.3)
- Patches : mises à jour de sécurité automatiques
- Backups : sauvegardes testées, hors ligne, chiffrées
- Monitoring : SIEM, alertes, audit logs
- Formation : sensibilisation des utilisateurs