Critères de sécurité des systèmes d'information : guide DICP
La sécurité des systèmes d’information repose sur cinq critères fondamentaux : confidentialité, intégrité, disponibilité, preuve et authentification. Regroupés sous l’acronyme DICP (ou DICT), ces piliers structurent toute politique de protection du SI. En 2025, 40 % des entreprises françaises ont subi au moins une cyberattaque significative selon le baromètre CESIN.
Les cinq piliers de la sécurité du SI
La méthode DICP fournit un cadre d’analyse reconnu par l’ANSSI et aligné sur la norme ISO 27001. Chaque critère évalue une dimension précise du risque pesant sur vos actifs numériques. Voici les cinq critères et leur rôle dans la protection globale de votre entreprise.
| Critère | Objectif | Exemple de menace | Mesure type |
|---|---|---|---|
| Confidentialité | Restreindre l’accès aux seules personnes autorisées | Vol de données clients | Chiffrement AES-256, contrôle d’accès RBAC |
| Intégrité | Garantir l’exactitude et la complétude des données | Altération de fichiers comptables | Hachage SHA-256, signatures numériques |
| Disponibilité | Maintenir l’accès continu aux services | Attaque DDoS, panne serveur | Redondance, PCA, hébergement multi-sites |
| Preuve / Traçabilité | Journaliser les actions sur le SI | Suppression de logs après intrusion | SIEM, horodatage certifié |
| Authentification | Vérifier l’identité de chaque utilisateur | Usurpation de compte administrateur | MFA, certificats numériques |
Ces cinq critères ne fonctionnent pas en silos. Une faille sur un seul axe compromet l’ensemble du dispositif.
La confidentialité protège l’accès aux données sensibles
La confidentialité garantit que seules les personnes habilitées accèdent à une information donnée. Le vol de données reste la première conséquence des cyberattaques en France : 52 % des incidents aboutissent à une exfiltration selon le baromètre CESIN 2025.
Trois mécanismes complémentaires renforcent ce critère :
- Chiffrement des données au repos (AES-256) et en transit (TLS 1.3)
- Contrôle d’accès basé sur les rôles (RBAC) pour limiter les permissions au strict nécessaire
- Classification des données en niveaux de sensibilité (public, interne, confidentiel, secret)
Sur le terrain, la classification reste le point faible. Beaucoup d’entreprises chiffrent leurs flux réseau mais stockent des fichiers sensibles sur des partages ouverts à tous les collaborateurs. Un audit de cybersécurité identifie ces failles en quelques jours.
Le RGPD renforce cette exigence : toute violation de données personnelles expose l’entreprise à des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (CNIL). La protection des données en entreprise passe d’abord par une cartographie précise des flux d’information.
L’intégrité garantit la fiabilité de vos informations
L’intégrité assure que les données ne subissent aucune modification non autorisée, qu’elle soit volontaire ou accidentelle. La norme ISO 27001 définit ce critère comme la “propriété d’exactitude et de complétude” des actifs informationnels.
Le baromètre CESIN 2025 révèle une tendance préoccupante : l’effacement ou l’altération de données a doublé en un an, touchant 13 % des entreprises victimes d’une attaque. Les ransomwares chiffrent les fichiers, les attaques par injection SQL modifient les bases de données, les erreurs humaines corrompent les sauvegardes.
Concrètement, quatre mesures protègent l’intégrité de votre SI :
- Hachage cryptographique (SHA-256) pour détecter toute modification de fichier
- Signatures numériques sur les documents contractuels et les mises à jour logicielles
- Contrôle de version sur les configurations réseau et les bases de données
- Sauvegardes immuables avec rétention sur 30 jours minimum, stockées hors site
Le problème ? Les sauvegardes classiques ne suffisent plus. Un ransomware moderne cible les copies de sauvegarde avant de chiffrer les données de production. Les sauvegardes immuables (WORM : Write Once Read Many) empêchent toute suppression ou modification pendant la durée de rétention définie.
La disponibilité maintient vos services opérationnels
La disponibilité mesure la capacité du SI à rester accessible quand les utilisateurs en ont besoin. Une interruption de service coûte en moyenne 1,5 million d’euros aux entreprises françaises, tous secteurs confondus (CESIN 2025). Pour les établissements de santé, ce montant dépasse 2,3 millions d’euros.
Le déni de service (DDoS) constitue la deuxième conséquence d’attaque la plus fréquente : 28 % des incidents selon le CESIN. Mais les pannes matérielles, les erreurs de configuration et les catastrophes naturelles menacent aussi la continuité.
Deux indicateurs structurent les engagements de disponibilité :
| Indicateur | Définition | Exemple |
|---|---|---|
| RTO (Recovery Time Objective) | Durée maximale d’interruption acceptable | 4 heures pour un ERP, 15 minutes pour un site e-commerce |
| RPO (Recovery Point Objective) | Volume maximal de données perdues acceptable | 1 heure de transactions pour une base financière |
Un plan de continuité d’activité (PCA) formalise ces objectifs. La redondance des serveurs, la réplication des bases de données et l’hébergement multi-sites garantissent un taux de disponibilité supérieur à 99,9 %. Les bonnes pratiques de sécurisation réseau complètent ce dispositif en réduisant la surface d’attaque.
La traçabilité sécurise chaque action sur le SI
La traçabilité, aussi appelée “preuve” dans le modèle DICP, reconstitue l’historique des actions réalisées sur le système d’information. Ce critère répond à une question simple : qui a fait quoi, quand et depuis où ?
La directive NIS 2 renforce cette exigence pour 15 000 à 18 000 entités en France. Toute entreprise de plus de 50 salariés ou réalisant plus de 10 millions d’euros de chiffre d’affaires dans un secteur concerné doit notifier un incident sous 24 heures et produire un rapport détaillé (ANSSI, 2025).
En pratique, la traçabilité repose sur trois composantes :
- Journalisation centralisée : collecter les logs de tous les équipements (serveurs, pare-feu, applications) dans un SIEM
- Horodatage certifié : garantir l’intégrité temporelle des événements via un serveur NTP synchronisé
- Conservation réglementaire : archiver les traces pendant la durée imposée par le secteur d’activité (12 mois minimum pour les OIV)
Résultat ? Un SIEM correctement configuré détecte une intrusion en quelques minutes au lieu de plusieurs semaines. Le temps moyen de détection d’une compromission atteint 258 jours sans outil de supervision centralisé (IBM, Cost of a Data Breach Report 2024).
L’authentification vérifie l’identité de chaque utilisateur
L’authentification constitue le cinquième critère, souvent intégré à la confidentialité mais distinct dans la pratique. Le hameçonnage reste le premier vecteur d’attaque en France : 55 % des cyberattaques réussies en 2025 exploitent cette technique selon le CESIN.
L’authentification multifacteur (MFA) réduit de 99,9 % le risque de compromission de compte selon Microsoft. Trois facteurs se combinent : ce que l’utilisateur sait (mot de passe), ce qu’il possède (smartphone, clé FIDO2) et ce qu’il est (biométrie).
La priorité de déploiement du MFA suit un ordre précis :
- Messagerie professionnelle (premier vecteur d’attaque)
- VPN et accès distants
- Consoles d’administration (Active Directory, cloud)
- Applications métiers critiques (ERP, CRM)
Autre point : les mots de passe seuls ne suffisent plus. L’ANSSI recommande un minimum de 12 caractères avec majuscules, minuscules, chiffres et caractères spéciaux. Les gestionnaires de mots de passe (Bitwarden, KeePass) éliminent le risque de réutilisation entre services. La sécurité informatique des PME commence souvent par ce chantier, accessible et immédiatement efficace.
Évaluer ces critères avec la méthode DICP
La classification DICP attribue à chaque actif du SI une note de 1 à 4 sur chaque critère. Cette grille objective les priorités d’investissement et aligne la sécurité sur les enjeux métiers.
Exemple : un serveur de messagerie reçoit une note élevée en disponibilité (interruption visible immédiatement) et en confidentialité (emails sensibles). Un site vitrine public obtient une note faible en confidentialité mais élevée en disponibilité.
L’ANSSI recommande cette approche comme socle de toute analyse de risques (méthode EBIOS RM). La norme ISO 27001, adoptée par plus de 70 000 organisations dans le monde, structure ces exigences dans un système de management certifiable. La protection des données personnelles en entreprise s’inscrit dans cette démarche globale.
Prochaine étape : cartographier vos actifs critiques et leur attribuer un score DICP. Identifier les trois actifs les plus exposés. Lancer un audit ciblé sur ces périmètres. Les premiers résultats apparaissent sous 4 à 6 semaines.
