Couplage des sites distants pour la gestion d'un système d'information en temps réel: cas du FONER

II.1.2. Intégrité

Le critère d'intégrité est relatif au fait que des ressources, données, traitements, transactions ou services n'ont pas été modifiés, altérés ou détruits tant de façon intentionnelle qu'accidentelle. Il convient de se prémunir contre l'altération des données en ayant la certitude qu'elles n'ont pas été modifiées lors de leur stockage, de leur traitement ou de leur transfert.

Les critères de disponibilité et d'intégrité sont à satisfaire par des mesures appropriées afin de pouvoir atteindre un certain niveau de confiance dans le fonctionnement des infrastructures informatiques et télécoms et notamment dans l'application critique.

Si en télécommunication, l'intégrité des données relève essentiellement de problématiques liées au transfert de données, elle dépend également des aspects purement informatiques de traitement de l'information (logiciels, systèmes d'exploitation, environnements d'exécution, procédures de sauvegarde, de reprise et de restauration des données).

Rappelons que lors de leur transfert, les données ne devraient pas être altérées par les protocoles de communication qui les véhiculent. Ces derniers interviennent uniquement sur les données de contrôle du protocole et non directement sur les données à transférer: un protocole ne modifie pas le corps des données qu'il véhicule.

Par contre, l'intégrité des données ne sera garantie que si elles sont protégées des écoutes actives qui peuvent modifier les données interceptées.

II.1.3. Confidentialité

La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction. La confidentialité est la protection des données contre divulgation non autorisée maintien de secret des informations.^21(*)

Il existe deux types d'actions complémentaires permettant d'assurer la confidentialité des données :

- Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à les modifier puissent le faire ;

- Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas autorisées à les obtenir ou qui ne possèdent pas les moyens de les déchiffrer ne puissent les utiliser.

II.1.4. Identification et authentification

Identifier l'auteur présumé d'un tableau signé est une chose, s'assurer que le tableau est authentique en est une autre. Il en est de même en informatique où des procédures d'identification et d'authentification peuvent être mises en oeuvre pour contribuer à réaliser des procédures de contrôle d'accès et des mesures de sécurité assurant:

- La confidentialité et l'intégrité des données: seuls les ayants droit identifiés et authentifiés peuvent accéder aux ressources (contrôle d'accès) et les modifier s'ils sont habilités à le faire;

- La non-répudiation et l'imputabilité: seules les entités identifiées et authentifiées ont pu réaliser une certaine action (preuve de l'origine d'un message ou d'une transaction, preuve de la destination d'un message...).

Un nom associé à des caractéristiques identifie une entité: individu, ordinateur, programme, document, etc. L'identification est la reconnaissance de cette entité.

L'authentification permet de vérifier l'identité annoncée et de s'assurer du non usurpation de l'identité d'une entité. Pour cela, l'entité devra produire une information spécifique telle que par exemple un mot de passe (un code, un mot de passe, une empreinte biométrique. Tous les mécanismes de contrôle d'accès logique aux ressources informatiques nécessitent de gérer l'identification et l'authentification des entités.

* ²¹ Ghernaouti-Hélie S., Sécurité informatique et réseaux, 3^emeédition, DUNOD, Page 4