La triade CIA, et pourquoi elle n'est pas qu'un acronyme
Une nuit d'août à Corbeil-Essonnes
Dans la nuit du 20 au 21 août 2022, le Centre hospitalier sud-francilien de Corbeil-Essonnes voit ses systèmes tomber les uns après les autres. Le groupe LockBit vient de chiffrer une partie du réseau et réclame 10 millions de dollars. L'hôpital, comme tous les établissements publics français, ne paie pas. Résultat : des mois de fonctionnement dégradé, des prescriptions rédigées au stylo, des patients transférés vers d'autres établissements, des examens d'imagerie reportés. Et le 23 septembre, faute de rançon, LockBit publie 11 gigaoctets de données volées : résultats d'examens, numéros de sécurité sociale, informations sur le personnel.
Regarde bien cet incident : il contient trois dégâts de natures différentes. Des soins impossibles à assurer normalement pendant des semaines. Des données médicales exposées publiquement. Et pendant la crise, l'impossibilité de savoir si les dossiers encore accessibles étaient fiables. Ces trois dégâts portent des noms, et ces noms forment la grille de lecture de toute la sécurité informatique.
Trois propriétés, un équilibre
On les note CIA, pour Confidentialité, Intégrité, Disponibilité (Confidentiality, Integrity, Availability en anglais). Ce n'est pas une checklist décorative : c'est l'outil qui permet de dire précisément ce qu'on protège, et contre quoi.
- Confidentialité : l'information n'est lisible que par ceux qui y ont droit. Les 11 Go publiés par LockBit, c'est une atteinte à la confidentialité — irréversible, d'ailleurs : on ne « récupère » pas des données publiées.
- Intégrité : l'information n'a pas été modifiée sans autorisation, et on peut le prouver. Une prescription de 50 mg qui devient 500 mg dans la base, un virement de 100 € qui devient 10 000 €. À l'hôpital, le simple doute sur l'intégrité des dossiers a suffi à imposer le retour au papier.
- Disponibilité : le service répond quand on en a besoin. Un système de prescription qui tombe une nuit de garde, c'est un problème de disponibilité, pas de vol de données. C'est le dégât le plus visible du ransomware.
Les trois tirent dans des sens différents
Le piège classique, c'est de croire qu'on peut maximiser les trois en même temps. En pratique elles s'opposent. Chiffrer une base et exiger une authentification forte renforce la confidentialité, mais chaque barrière ajoutée est un point de panne possible pour la disponibilité : un médecin urgentiste qui ne peut pas ouvrir un dossier à 3 h du matin parce que le serveur d'authentification est tombé, c'est un vrai scénario, pas une hypothèse d'école. À l'inverse, répliquer une base sur cinq serveurs améliore la disponibilité mais multiplie par cinq les endroits où la voler. Exiger une double validation humaine pour chaque virement protège l'intégrité et ralentit toute la comptabilité.
Une bonne décision de sécurité, c'est un arbitrage assumé entre ces trois propriétés, pas un « on sécurise tout ». Quelqu'un qui te promet les trois au maximum sans contrepartie te vend quelque chose.
Autre cas documenté, pour ancrer l'idée : en mai 2021, l'oléoduc Colonial Pipeline, aux États-Unis, est touché par le ransomware DarkSide, entré par un compte VPN sans MFA dont le mot de passe traînait dans une fuite. L'entreprise coupe elle-même ses systèmes par précaution, et une partie de la côte Est se retrouve à court d'essence pendant plusieurs jours. Le vol de données existait, mais le dégât qui a fait la une, c'était l'arrêt de service : encore la disponibilité. Note au passage que la décision de couper venait du défenseur lui-même — parfois on sacrifie volontairement la disponibilité pour sauver l'intégrité et la confidentialité. C'est exactement le genre d'arbitrage dont on parle.
L'appliquer soi-même
Devant n'importe quel actif — une base clients, un site, un serveur de sauvegarde, ton propre ordinateur portable — pose-toi trois questions :
- Qu'est-ce qui se passe si quelqu'un lit ça sans droit ? (confidentialité)
- Qu'est-ce qui se passe si quelqu'un modifie ça en douce ? (intégrité)
- Qu'est-ce qui se passe si ça tombe deux jours ? (disponibilité)
La réponse te dit où mettre l'effort. Pour un blog public, la confidentialité du contenu compte peu (il est public par définition), mais l'intégrité compte énormément : une page défigurée ou un lien remplacé par un lien piégé détruit la confiance des lecteurs. Pour un cabinet d'avocats, la confidentialité domine tout. Pour une plateforme de paiement, l'intégrité des montants passe avant le reste. On ne sécurise pas ces trois systèmes de la même façon, et c'est très bien.
À toi
Classe chaque scénario selon la propriété principalement atteinte : (a) le planning de blocs opératoires d'une clinique est inaccessible pendant 48 h ; (b) un stagiaire modifie discrètement son propre salaire dans le logiciel RH ; (c) la liste des donateurs d'une association est envoyée par erreur à toute la liste de diffusion.
Correction : (a) disponibilité — rien n'est lu ni modifié, mais le service ne répond plus au moment critique. (b) intégrité — la donnée a été altérée sans autorisation ; le montant reste confidentiel et disponible, mais il est faux. (c) confidentialité — des informations réservées ont été lues par des personnes sans droit, et c'est irréversible. Remarque que (b) est le plus sournois des trois : sans mécanisme de journalisation ou de validation, personne ne s'en aperçoit.
Garde cette grille en tête : dans la prochaine leçon, on ajoute le vocabulaire du risque — menace, vulnérabilité, surface d'attaque — et tu auras l'équipement complet pour raisonner en défenseur.