Chapitre 1 — CIA, Risque & Fondamentaux de la Sécurité
Ce chapitre couvre les principes fondamentaux sur lesquels repose toute la sécurité informatique. Vous devez maîtriser la triade CIA, les concepts de risque, la terminologie des menaces et les garanties générales pour le domaine 1 (12%).
Confidentialité
La confidentialité garantit que l'information n'est accessible qu'aux personnes autorisées. Elle est protégée par le chiffrement, le contrôle d'accès et les mécanismes d'authentification.
- Chiffrement : transforme les données en texte illisible sans la clé correcte. AES-256 pour le chiffrement symétrique, RSA/ECC pour l'asymétrique.
- Contrôle d'accès : limit qui peut lire quoi. Basé sur les identités, les rôles ou les attributs.
- Stéganographie : dissimule des données dans d'autres données (image, audio). Différent du chiffrement — les données sont cachées, pas rendues illisibles.
- Masquage des données : remplace les données sensibles par des valeurs fictives pour les tests/dev (ex. numéro de carte → XXXX-XXXX-XXXX-1234).
Intégrité
L'intégrité assure que les données ne sont pas modifiées de manière non autorisée — que ce soit pendant le stockage, le transit ou le traitement.
- Hachage : empreinte numérique d'un fichier. MD5 (obsolète), SHA-256, SHA-3. Si un seul bit change, le hash change complètement.
- HMAC : Hash-Based Message Authentication Code — combine un hash avec une clé secrète pour vérifier à la fois l'intégrité ET l'authenticité.
- Signature numérique : chiffrement asymétrique appliqué à un hash. Prouve l'origine et l'intégrité.
- Contrôle de version : permet de détecter les modifications non autorisées et de revenir à un état antérieur.
Disponibilité
La disponibilité garantit que les systèmes et les données sont accessibles aux utilisateurs autorisés quand ils en ont besoin.
- Redondance : RAID, clusters, sites de reprise (failover).
- Résilience : capacité à se remettre d'une panne. RTO (Recovery Time Objective) et RPO (Recovery Point Objective).
- Équilibrage de charge : distribue le trafic entre plusieurs serveurs.
- Attaques DoS/DDoS : visent à détruire la disponibilité — contrecarrées par des services anti-DDoS, du rate-limiting et du scrubbing.
Si une question mentionne "bloquer l'accès aux utilisateurs légitimes" → Disponibilité. "Données modifiées sans autorisation" → Intégrité. "Un attaquant a lu des données privées" → Confidentialité. Ces distinctions apparaissent fréquemment dans les questions à choix multiples.
La non-répudiation empêche un expéditeur de nier avoir envoyé un message ou effectué une action. Elle combine l'authentification + l'intégrité via les signatures numériques et les journaux d'audit.
Le modèle AAA
| Concept | Définition | Exemple |
|---|---|---|
| Authentication | Prouver qui vous êtes | Mot de passe, empreinte, carte à puce |
| Authorization | Déterminer ce que vous pouvez faire | ACL, rôles RBAC, politiques |
| Accounting | Enregistrer ce que vous avez fait | Journaux, SIEM, audit trail |
Terminologie du risque
- Menace (Threat) : toute circonstance pouvant causer un préjudice. Peut être intentionnelle (hacker) ou accidentelle (inondation).
- Vulnérabilité : faiblesse dans un système pouvant être exploitée par une menace.
- Vecteur d'attaque : le chemin emprunté par un attaquant pour exploiter une vulnérabilité.
- Acteur de menace : entité qui lance une attaque (script kiddie, APT, initié malveillant, hacktiviste, état-nation).
- Risque : la probabilité qu'une menace exploite une vulnérabilité, multipliée par l'impact résultant.
- Exposition : degré auquel un actif est accessible aux menaces.
- Contrôle / Safeguard : mesure qui réduit le risque.
- Risque résiduel : risque restant après l'application des contrôles.
Traitements du risque
| Traitement | Description | Exemple |
|---|---|---|
| Éviter | Éliminer l'activité risquée | Ne pas utiliser un logiciel vulnérable |
| Transférer | Déplacer le risque vers un tiers | Assurance cybersécurité |
| Atténuer | Réduire la probabilité ou l'impact | Pare-feu, antivirus, chiffrement |
| Accepter | Reconnaître le risque et continuer | Risque faible documenté |
Calculs de risque quantitatifs
- AV (Asset Value) : valeur monétaire de l'actif.
- EF (Exposure Factor) : % de l'actif perdu lors d'un incident (0–1).
- SLE (Single Loss Expectancy) = AV × EF. Perte pour un seul événement.
- ARO (Annualized Rate of Occurrence) : fréquence annuelle d'un événement.
- ALE (Annualized Loss Expectancy) = SLE × ARO. Perte annuelle attendue.
- Défense en profondeur : plusieurs couches de contrôles. Si l'une échoue, les autres résistent.
- Moindre privilège : n'accorder que les accès minimum nécessaires à une fonction. Limite les dommages en cas de compromission.
- Séparation des tâches : aucune personne seule ne devrait contrôler un processus critique de bout en bout. Deux personnes pour autoriser un virement.
- Rotation des tâches : les employés pivotent entre postes — détecte les fraudes et empêche qu'une seule personne accumule des connaissances critiques.
- Vacances forcées : obligent les employés à prendre des congés — détecte les activités frauduleuses nécessitant leur présence continue.
- Zero Trust : "Ne jamais faire confiance, toujours vérifier." Aucun utilisateur ou appareil n'est intrinsèquement fiable, même sur le réseau interne. Micro-segmentation, authentification forte systématique.
- Fail-safe/Fail-secure : en cas de défaillance, le système se verrouille (sécurité) plutôt que de s'ouvrir.
- Security by Design : intégrer la sécurité dès la conception, pas en ajout après coup.
- Privacy by Design : intégrer la protection des données personnelles dès la conception du système.
- KISS (Keep It Simple) : les systèmes simples sont moins susceptibles d'avoir des failles de sécurité.