5 critères de sécurité d'un système d'information : DICP et traçabilité
Un système d’information (SI) sécurisé repose sur cinq critères fondamentaux : Disponibilité, Intégrité, Confidentialité, Preuve et Traçabilité (DICP). Ces piliers, définis par l’ANSSI et repris dans les réglementations comme le RGPD ou la directive NIS 2, déterminent la résilience d’une entreprise face aux cybermenaces. En 2025, 60 % des PME françaises ont subi une faille de disponibilité ou de confidentialité, avec un coût moyen de 130 000 euros par incident (baromètre CESIN).
Disponibilité : le système accessible en permanence
La disponibilité garantit que les services et données du SI sont accessibles aux utilisateurs autorisés, sans interruption. Une panne de 4 heures coûte en moyenne 12 000 euros à une PME (étude IBM, 2025), sans compter les pertes de confiance clients. Les causes principales ? Pannes matérielles, cyberattaques par déni de service (DDoS) ou erreurs humaines.
Enjeux et exemples
- Perte de chiffre d’affaires : Un site e-commerce indisponible pendant 1 heure perd 2 % de son CA journalier (FEVAD, 2024).
- Attaques DDoS : En 2023, 38 % des entreprises françaises ont subi une attaque par déni de service, cible privilégiée des hacktivistes.
- Exemple concret : La panne AWS de décembre 2021 a paralysé des milliers de sites pendant 7 heures, causant des pertes estimées à 150 millions de dollars.
Outils et bonnes pratiques
- Redondance : Serveurs miroirs, liens internet doublés (fibre + 4G).
- Plan de continuité d’activité (PCA) : Un plan de continuité d’activité structure la reprise après un sinistre. 80 % des entreprises sans PCA ferment dans les 18 mois suivant une cyberattaque majeure (Gartner).
- Sauvegardes externalisées : Stockage hors site (cloud sécurisé) pour éviter la perte totale des données.
- Surveillance proactive : Outils comme Nagios ou Zabbix alertent en temps réel sur les baisses de performance.
Pour aller plus loin, découvrez les bonnes pratiques pour sécuriser votre réseau informatique et renforcer la résilience de votre infrastructure.
Intégrité : les données non altérées
L’intégrité assure que les données ne sont ni modifiées, ni corrompues, ni supprimées de manière non autorisée. Une faille d’intégrité peut fausser des décisions stratégiques, corrompre des bases clients ou permettre des fraudes. En 2024, 22 % des cyberattaques visaient spécifiquement l’intégrité des données (rapport Verizon DBIR).
Enjeux et exemples
- Fraude financière : Modification des coordonnées bancaires d’un fournisseur pour détourner un virement. Erreurs logicielles : Un bug dans un logiciel de paie peut générer des surcoûts de 5 à 15 % de la masse salariale (étude ADP). Exemple concret : L’attaque Stuxnet (2010) a altéré les centrifugeuses iraniennes en modifiant leurs paramètres de fonctionnement, causant des dégâts physiques estimés à 10 millions de dollars.
Outils et bonnes pratiques
Hash et signatures numériques : Vérification de l’authenticité des fichiers via des algorithmes comme SHA-256. Contrôle d’accès strict : Limiter les droits de modification aux seuls utilisateurs habilités. Journaux d’audit : Traçabilité des modifications pour identifier les anomalies. Protection contre les malwares : Solutions comme CrowdStrike ou SentinelOne bloquent les tentatives de corruption. Pour vous protéger efficacement, consultez notre guide sur le phishing et les ransomwares.
Confidentialité : accès réservé aux autorisés
La confidentialité limite l’accès aux données sensibles aux seules personnes autorisées. Une faille de confidentialité expose à des fuites de données clients, des vols de propriété intellectuelle ou des sanctions RGPD. En 2025, 4,1 milliards de données ont été exposées dans le monde, soit une augmentation de 300 % en 5 ans (rapport IBM Cost of a Data Breach).
Enjeux et exemples
Sanctions RGPD : Une fuite de données peut coûter jusqu’à 4 % du CA mondial (exemple : amende de 20 millions d’euros infligée à British Airways en 2020). Perte de confiance : 60 % des clients ne reviennent pas après une fuite de leurs données personnelles (étude PwC). Exemple concret : La faille Equifax (2017) a exposé les données de 147 millions de personnes, entraînant un coût total de 1,4 milliard de dollars pour l’entreprise.
Outils et bonnes pratiques
Chiffrement : Données chiffrées au repos (AES-256) et en transit (TLS 1.3). Authentification multifacteur (MFA) : Réduction de 99,9 % des attaques par compromission de comptes (Microsoft). Gestion des droits d’accès (IAM) : Principe du moindre privilège (exemple : un stagiaire n’a pas accès aux données financières). Sensibilisation des employés : 90 % des fuites sont causées par une erreur humaine (rapport Verizon).
Pour approfondir, lisez notre article sur les obligations RGPD des entreprises et sécurisez vos données personnelles.
Preuve : actions et décisions traçables
La preuve garantit que les actions réalisées sur le SI sont traçables et opposables en cas de litige ou d’audit. Ce critère est essentiel pour la conformité réglementaire (RGPD, NIS 2) et la résolution des incidents. Sans preuve, impossible de démontrer sa bonne foi en cas de litige ou de cyberattaque.
Enjeux et exemples
Litiges clients : Preuve des transactions pour contester un paiement frauduleux. Audits réglementaires : Justification des accès aux données sensibles (exemple : secteur bancaire). Exemple concret : Les logs bancaires ont permis d’identifier les fraudeurs dans 78 % des cas de fraude aux virements (Fédération Bancaire Française, 2024).
Outils et bonnes pratiques
SIEM (Security Information and Event Management) : Solutions comme Splunk ou IBM QRadar centralisent les logs et détectent les anomalies. Blockchain : Utilisée pour tracer les modifications de données critiques (exemple : traçabilité des médicaments). Horodatage : Certification de la date et de l’heure des actions via des autorités comme la FNTC. Conservation des logs : Durée minimale de 6 mois pour les logs techniques (recommandation ANSSI).
Traçabilité : historique des accès et modifications
La traçabilité enregistre l’historique des accès et des modifications apportées aux données et systèmes. Ce critère est indispensable pour investiguer les incidents, identifier les responsables et se conformer aux exigences légales. En 2025, 55 % des entreprises ne conservent pas leurs logs au-delà de 3 mois, s’exposant à des sanctions (étude Forrester).
Enjeux et exemples
Investigations post-incident : Identification de l’origine d’une cyberattaque (exemple : attaque par ransomware). Responsabilité juridique : Preuve de la conformité aux réglementations (exemple : logs d’accès aux données de santé). Exemple concret : Les logs serveurs ont permis de retracer l’attaque contre TV5Monde en 2015, identifiant les hackers russes du groupe APT28.
Outils et bonnes pratiques
Logs centralisés : Stockage dans un serveur dédié ou un cloud sécurisé (exemple : AWS CloudTrail). Analyse comportementale : Détection des anomalies via l’IA (exemple : accès à une base de données en dehors des heures de travail). Archivage sécurisé : Chiffrement et signature numérique des logs pour éviter toute altération. Automatisation : Outils comme Graylog ou ELK Stack facilitent la collecte et l’analyse des logs.
Périmètre d’application : qui est concerné ?
Les 5 critères DICP s’appliquent à toutes les organisations, quelle que soit leur taille, mais avec des niveaux d’exigence variables.
| Type d’organisation | Exigences spécifiques | Réglementation applicable |
|---|---|---|
| PME | Protection des données clients, sauvegardes, MFA | RGPD, loi informatique et libertés |
| Grandes entreprises | Audit annuel, PCA, chiffrement des données sensibles | RGPD, NIS 2, ISO 27001 |
| Secteur public | Protection des données citoyennes, traçabilité des accès | RGPD, décret cybersécurité (2023) |
| Santé | Confidentialité des données patients, intégrité des dossiers médicaux | RGPD, HDS (Hébergement de Données de Santé) |
| Finance | Traçabilité des transactions, preuve des opérations | DSP2, RGPD, LCB-FT |
Pour les PME, la mise en place des critères DICP réduit de 70 % le risque de cyberattaque réussie (ANSSI, 2025). Un investissement minimal, comme l’activation du MFA ou la sauvegarde externalisée, peut éviter des pertes financières catastrophiques.
Prochaine étape
Pour évaluer la sécurité de votre système d’information, commencez par un audit interne couvrant les 5 critères DICP. Utilisez la grille d’évaluation ci-dessus pour identifier vos points faibles. Si votre score est inférieur à 3 étoiles sur l’un des critères, priorisez les correctifs : activation du MFA, sauvegardes externalisées ou déploiement d’un SIEM.
Pour un audit complet, faites appel à un prestataire PASSI certifié ANSSI. Le coût initial, entre 8 000 et 25 000 euros, est un investissement bien inférieur aux pertes potentielles en cas de cyberattaque.
