Où l'authenticité s'inscrit-elle dans la triade CIA?
Prenons une application de chat où un attaquant peut envoyer des messages au nom de n'importe quel utilisateur. Cela viole évidemment l'authenticité du message. Mais quel aspect de CIA serait violé?
L'intégrité me semble la plus proche, mais cela signifie généralement que les données ne doivent pas être modifiées.
Cela serait encore couvert par l'intégrité: la création ou la suppression de données est toujours une violation de l'intégrité. (Cela peut être considéré comme une mutation sur l'ensemble des données.)
Je soutiens le point de vue de David selon lequel si vous deviez adapter votre scénario à l'une des catégories de la CIA, l'intégrité serait la bonne parce que vous créez un État violant ainsi l'intégrité.
Mais jetez également un œil au Parkerad hexad qui est une extension populaire de la triade CIA. Il se compose des attributs confidentialité , possession ou contrôle , intégrité , authenticité , disponibilité et utilitaire . Dans ce modèle, l'écriture de messages au nom d'un autre utilisateur rentrerait dans la catégorie d'authenticité .
En outre, vous voudrez peut-être considérer la triade CIA principalement comme des objectifs de sécurité globaux. Mais ce n'est pas nécessairement un outil puissant pour classer des vulnérabilités spécifiques.
Ça ne va pas. L'authenticité et la non-répudiation sont des extensions courantes de la triade. La confidentialité des données en est un autre (en particulier en Europe).
La triade CIA, comme tout mnémonique, est un outil utile, pas une définition parfaite. Il aide grandement à s'éloigner d'une approche résolue de la sécurité de l'information, mais il y a toujours des problèmes qu'il ne couvre pas parfaitement.
Une extension bien connue qui couvre explicitement l'authenticité est le Perkerian Hexad .
Si nous considérons un message en transit sur le réseau comme une "information", les attributs de sécurité les plus importants pour la "sécurité de l'information" devraient être: la confidentialité, l'intégrité et l'authenticité (pas la disponibilité). Considérez un groupe d'utilisateurs qui partagent une clé de chiffrement commune. Un membre peut emprunter l'identité d'un autre membre pour créer un message, le chiffrer avec la clé de groupe, le hacher pour l'intégrité, mais son authenticité est violée.
Une autre triade de sécurité associée serait la non-répudiation, la disponibilité et la fraîcheur, c'est-à-dire nRAF.
En résumé, il existe deux triades de sécurité: CIA nRAF. Le premier groupe (confidentialité, intégrité et authenticité) est primordial, le deuxième groupe, où réside la disponibilité, est également important mais secondaire.