Polar Code 🎭

Command Palette

Search for a command to run...

Retour au dossier : FAITES ENTRER LA SECURITE WEB
02
Pièce N°02

Chapitre 2 : Le Triangle d'Acier - Les Fondamentaux de la Sécurité

Chapitre 2 : Le Triangle d'Acier - Les Fondamentaux de la Sécurité

URL (slug) : /fondamentaux-securite-triangle-cia-concepts-cles

Le projecteur allumé dessinait un triangle blanc sur le mur, net et impitoyable. Crawler se tenait à côté, une craie rouge entre les doigts, comme un chirurgien devant son schéma.

« Avant de jouer avec les armes, » sa voix fusa dans le silence, « il faut connaître les règles du jeu. Ou plutôt, les trois piliers que tout attaquant cherche à faire s'écrouler. »

Le triangle se peupla de trois lettres qui claquèrent comme des coups de feu.

1. Les Principes de Base : Le Triangle CIA

C. Confidentialité.

Il traça un cercle rouge autour du C. « L'information n'appartient qu'à ceux qui y ont droit. Point. Un mail, un numéro de sécu, un solde bancaire. La confidenitalité, c'est le secret gardé. La briser, c'est ouvrir la boîte aux lettres de quelqu'un, fouiller ses poches, écouter aux portes. Le chiffrement est son garde du corps. Son absence, une invitation. »

I. Intégrité.

La craie gratta vers le I. « L'information doit rester pure. Inchangée. Si un médecin lit une ordonnance, il doit être certain que personne n'a modifié la dose. Si vous envoyez 100€, la transaction doit arriver à 100€, pas 1000. L'intégrité, c'est la garantie que le message n'a pas été altéré en route. Les checksums, les signatures numériques en sont les sceaux de cire. Les corrompre, c'est falsifier un chèque ou un dossier médical. »

A. Disponibilité.

Enfin, le A fut encerclé. « L'information doit être là. Quand on en a besoin. Une attaque par déni de service, c'est juste ça : bloquer l'accès. Comme une grève des livreurs qui vous prive de courrier, ou un incendie qui rase les archives. La disponibilité, c'est la promesse que le service est ouvert. La nier, c'est condamner une boutique à la faillite, un hôpital à la paralysie. »

Il recula, contemplant le triangle. « Toute attaque vise au moins un de ces sommets. Tout votre boulot est de les défendre tous. En même temps. »

2. Les Concepts Clés : Les Moteurs de la Mécanique

Il effaça d'un coup de manche le triangle et écrivit quatre mots en colonne.

Authentification. « "Qui es-tu ?" C'est la question de base. Le passeport, la clé, la biométrie. S'assurer que l'utilisateur est bien celui qu'il prétend être. Un échec ici, et n'importe qui peut porter votre masque. »

Autorisation. « "As-tu le droit ?" Tu t'es identifié, d'accord. Mais as-tu le droit de lire ce fichier, de virer cet argent, de supprimer cette base ? L'authentification vous donne une identité. L'autorisation définit vos permissions. Confondre les deux, c'est laisser le vigile entrer dans le coffre parce qu'il a une carte d'accès au bâtiment. »

Traçabilité (Logs, Audit). Il pointa sa craie vers la classe. « Dans un monde parfait, personne ne tenterait rien. Ici-bas, on trace tout. Chaque connexion, chaque requête, chaque modification. Les logs, c'est la bande de sécurité. L'audit, c'est le flic qui la visionne après le braquage. Sans traçabilité, un incident est un crime parfait. Sans preuve, sans piste, sans coupable. »

Non-Répudiation. Le dernier mot resta un instant seul sur le mur. « C'est l'ultime concept. La garantie qu'une action ne peut être niée. Quand vous signez électroniquement un contrat, quand une banque valide une transaction, il doit être impossible de dire "ce n'est pas moi". C'est le clou qui scelle la preuve. C'est ce qui transforme un "peut-être" en "sans aucun doute". »

Crawler laissa tomber la craie. Elle se brisa en deux sur le sol, dans un craquement sec.

« Ces concepts ne sont pas de la philosophie. C'est l'anatomie de la sécurité. Chaque ligne de code que vous écrirez, chaque système que vous concevrez, doit se poser ces questions : Qui ? A-t-il le droit ? Peut-on le prouver ? Peut-il le nier ? »

Il éteignit le projecteur. La salle fut avalée par l'obscurité.

« La prochaine fois, on aborde l'OWASP Top 10. La liste des dix façons les plus courantes dont tout ce que je viens de vous expliquer... se fait pulvériser. Apportez votre casque. »

La sortie se fit dans un murmure, le poids des quatre mots résonnant encore dans le noir : Authentification, Autorisation, Traçabilité, Non-Répudiation. Les quatre piliers d'un monde qui, sans eux, ne serait qu'un champ de ruines numériques.