La cybersécurité est très vaste et touche de nombreux domaines : de l'ordinateur de votre voiture au secret médical, de votre achat en ligne aux cryptage des communications satellites.

Pour un étudiant en informatique, la cybersécurité semble une jungle infernale. Pourtant, la cybersécurité se résume à 5 grandes notions à connaître. Et pour les mémoriser, on utilise un acronyme : DICAN.

DICAN : un acronyme facile à retenir

La cybersécurité se base sur 5 notions, érigées en principes : la Disponibilité, l'Intégrité, la Confidentialité, l'Authentification et la Non répudiation. Ces 5 principes forment l'acronyme DICAN.

Et pour comprendre pourquoi ces 5 notions sont essentielles pour la cybersécurité, nous allons les détailler.

Disponibilité

La disponibilité c'est le fait de pouvoir toujours accéder à ses propres informations, même si ces informations sont stockées chez un prestataire externe à l'entreprise.
Voici quelques exemple d'indisponibilité qui ont impacté fortement des milliers d'entreprises :

• L'incendie d'OVH en mars 2021
• La panne de Facebook, Messenger, WhatsApp et Instagram du 4 octobre 2021 et qui a duré 6h30. Sympa si vous n'avez pas de site web, mais une page facebook et Instagram pour votre business.
• En octobre 2020, une panne de plusieurs heures touche les clients Microsoft 365, Outlook et Teams. Et ce n'était pas la première fois que cela arrive.
• En décembre 2020, une panne touche Google et Gmail pendant plusieurs heures. En novembre 2021, c'est 2 heures d'indisponibilité pour Google Cloud Plateform, impactant des milliers de sites web.
• On peut ajouter à cela les pannes des fournisseurs d'accès à Internet (Orange, SFR et Bouygues) qui rendent indisponible toutes vos données et services qui sont dans le cloud.

Intégrité

L'intégrité garantie que les informations qui sont transmises entre un émetteur et un destinataires ne peuvent pas être altérées.
Par exemple, lors d'une attaque réseau par la technique man in the middle, il est possible que le cybercriminel modifie à la volée les informations qui transitent.
L'intégrité s'applique aussi à l'information stockée. Par exemple, si un ransomware infecte votre ordinateur, il cryptera tout ou partie de vos fichiers. C'est donc l'intégrité de vos fichiers qui est compromise.

Confidentialité

La confidentialité garantie que les informations qui sont transmises entre un émetteur et un destinataire ne peuvent être lues que par l’émetteur et le destinataire. L'émetteur et le destinataire peuvent être des êtres humains ou des machines.
Afin de garantir la confidentialité, il est nécessaire de crypter l'information. C'est donc pour cela que le protocole Telnet a cédé sa place à SSH, que HTTP a cédé sa place à HTTPS, et que les serveur de mails utilisent TLS pour crypter le flux SMTP.
C'est aussi pour cela que SSH ou TLS évoluent de temps en temps : C'est pour garantir que ce que vous faites sur Internet ne regarde que vous.
Voici un exemple concret de vulnérabilité de la confidentialité : En août 2020, le gouvernement chinois a décidé de bloquer le protocole HTTPS qui utilise la dernière version de TLS (donc la version 1.3). Vous l'avez compris aussi, par déduction on comprend que le gouvernement chinois arrive à décrypter TLS 1.0, 1.1 et 1.2, mais pas 1.3. En bloquant TLS 1.3, il peut donc lire toute les communications entre les internautes et les sites web. Pratique pour connaitre l'activité numérique des opposants politiques !

Authentification

L'authentification consiste à vérifier votre identité. Elle s'applique aussi bien aux personnes qu'aux machines.
Une authentification peut être validée par un tiers, comme par exemple un serveur d'authentification ou une autorité tierce.
Une authentification peut être faible, comme par exemple avec l'usage des mots de passe, ou forte, avec l'usage des mots de passe à usage unique, l'usage de la biométrie, l'usage de l'authentification à deux facteurs, l'usage d'un serveur RADIUS, etc...
Vous avez compris que grâce à l'authentification, cela résoud les attaques basées sur l'usurpation d'identité. Par exemple, les arnaques aux faux ordres de virements sont possibles car il n'y a pas d'authentification, juste de l'ingénieurie sociale.

Non répudiation

La non répudiation garantie qu'un accord ne peut pas être nié.
Un accord est à prendre au sens large du terme. Par exemple, un accord peut être lors de l'établissement d'un protocole de communication entre 2 ordinateurs.
Mais l'exemple le plus simple à comprendre est la signature électronique. Si un jour vous contractez un prêt auprès de votre banque en ligne, celle-ci vous enverra un contrat que vous devez signer électroniquement. Si vous le faites, vous ne pourrez pas dire que vous n'avez rien signé du tout et que vous ne vous êtes pas engagé. C'est cela, la non répudiation.

DICAN : la base de la cybersécurité

En conclusion, maintenant que vous connaissez les 5 principes de la cybersécurité, vous comprenez facilement que vous arriverez à créer un produit ou un service sécurisé s'il respecte ces 5 notions.

Tags

CYBERSÉCURITÉ MÉTHODOLOGIE

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...