Quand vous verrouillez votre porte avant de partir, vous protégez ce qui se trouve à l’intérieur. En sécurité de l’information, le raisonnement est identique, mais appliqué aux données numériques. Les critères traditionnels de la sécurité servent de grille de lecture pour évaluer si un système protège correctement ce qu’il contient. Trois piliers structurent cette grille depuis des décennies : confidentialité, intégrité et disponibilité. Un quatrième critère, la traçabilité, s’y ajoute dans les référentiels comme la famille ISO 27001.
Confidentialité des données : qui a le droit de voir quoi
Vous avez déjà remarqué que certains dossiers de votre entreprise ne sont accessibles qu’à quelques personnes ? C’est la confidentialité en action. Ce critère garantit que seules les personnes autorisées accèdent à une information donnée.
A découvrir également : Quels sont les outils de la QVT ?
Prenons un exemple concret. Un cabinet comptable stocke les déclarations fiscales de ses clients sur un serveur. Si un stagiaire peut consulter n’importe quel dossier sans restriction, la confidentialité est rompue, même sans piratage externe.

A lire également : Quels sont les quatre objets principaux d’une base de données ?
La confidentialité repose sur des mécanismes précis : le chiffrement des données (au repos et en transit), la gestion fine des droits d’accès, et l’authentification forte des utilisateurs. Le chiffrement seul ne suffit pas sans une politique d’accès cohérente. Un fichier chiffré reste vulnérable si la clé de déchiffrement circule par email sans protection.
Dans le cadre de la cybersécurité, la confidentialité fait face à des menaces qui évoluent. Le rapport préliminaire 2026 du Groupe scientifique international sur l’IA pour l’ONU note que les systèmes d’intelligence artificielle introduisent de nouveaux risques : l’exfiltration de données via des prompts ou l’empoisonnement de données d’entraînement ciblent directement ce critère.
Intégrité de l’information : détecter toute altération
Imaginez un virement bancaire dont le montant passe de 500 à 50 000 euros entre l’envoi et la réception. Le montant a été modifié en cours de route. L’intégrité vise à empêcher exactement ce scénario.
Ce critère de sécurité garantit que les données n’ont pas été modifiées, supprimées ou corrompues de manière non autorisée. Il couvre deux situations distinctes :
- L’altération volontaire : un attaquant modifie un fichier, une base de données ou un journal de logs pour masquer une intrusion ou détourner une transaction.
- L’altération accidentelle : une panne matérielle, un bug logiciel ou une erreur humaine corrompt des données sans intention malveillante.
- L’altération silencieuse : les données changent sans que personne ne s’en aperçoive, ce qui est le cas le plus dangereux puisque les décisions sont alors prises sur des informations fausses.
Les mécanismes de protection incluent les fonctions de hachage (qui produisent une empreinte unique pour chaque fichier), les signatures numériques et les systèmes de contrôle de version. Vérifier l’intégrité, c’est comparer l’empreinte actuelle à l’empreinte d’origine.
Le même rapport de l’ONU sur l’IA souligne que l’intégrité est mise à mal par l’altération des modèles d’intelligence artificielle ou de leurs jeux de données d’entraînement. Un modèle corrompu produit des résultats biaisés sans signal d’alerte visible, ce qui rend la détection particulièrement difficile.
Disponibilité des systèmes : accéder aux données quand on en a besoin
Un coffre-fort parfaitement verrouillé mais dont personne ne retrouve la combinaison ne sert à rien. La disponibilité garantit que les données et les services restent accessibles aux utilisateurs autorisés, au moment où ils en ont besoin.
Ce critère concerne autant l’infrastructure technique que l’organisation humaine. Un serveur qui tombe en panne un vendredi soir sans équipe d’astreinte pose un problème de disponibilité, tout comme une attaque par déni de service (DDoS) qui sature un site web.
La disponibilité se mesure souvent en pourcentage de temps de fonctionnement, défini dans les contrats de niveau de service entre un prestataire et son client. Les pratiques de protection associées sont la redondance des systèmes, les sauvegardes régulières testées, et les plans de reprise d’activité.
Pour les services critiques (santé, énergie, transport), une perte de disponibilité a des conséquences qui dépassent le cadre informatique. C’est la raison pour laquelle des réglementations sectorielles imposent des niveaux de disponibilité minimaux et des obligations de notification en cas d’incident.
Traçabilité et authentification : le quatrième critère de sécurité
Les trois critères précédents (confidentialité, intégrité, disponibilité) forment le triptyque historique, souvent désigné par l’acronyme anglais CIA. Les référentiels de la famille ISO 27001 y ajoutent un quatrième pilier : la traçabilité, parfois couplée à l’authentification.
La traçabilité répond à une question simple : qui a fait quoi, quand, et depuis où ? Elle repose sur la journalisation des actions (logs), la conservation sécurisée de ces journaux, et la capacité d’analyser ces traces après un incident.
L’authentification, de son côté, vérifie l’identité d’un utilisateur ou d’un système avant de lui accorder un accès. Sans authentification fiable, la traçabilité perd sa valeur : un log qui indique « utilisateur123 a modifié le fichier » ne sert à rien si n’importe qui peut se connecter en tant qu’utilisateur123.
Ces deux mécanismes fonctionnent ensemble. Un système qui enregistre chaque action mais ne vérifie pas l’identité de l’auteur produit des traces inutilisables. À l’inverse, une authentification forte sans journalisation empêche toute investigation après un incident.
Limites des critères traditionnels face aux risques actuels
Confidentialité, intégrité, disponibilité et traçabilité restent le socle de toute politique de sécurité. Mais ces critères seuls ne couvrent pas les risques liés à l’intelligence artificielle.
Le Groupe scientifique international sur l’IA a documenté des taux de réussite d’attaques très élevés contre des agents de codage largement déployés. Ce type de menace ne relève pas uniquement de la confidentialité ou de l’intégrité au sens classique. Il met en jeu des notions complémentaires : l’exactitude des résultats produits par un modèle, la supervision humaine des décisions automatisées, et le principe de moindre privilège appliqué aux agents autonomes.
Le cadre traditionnel n’est pas obsolète pour autant. Il fournit la grille de lecture de base, que chaque organisation adapte ensuite à son secteur, à ses données et au niveau de risque qu’elle accepte. Les critères CIA restent le point de départ de toute démarche de protection, y compris quand le périmètre s’étend aux systèmes d’IA ou aux environnements cloud.

