Qu'est-ce que l'assurance de l'information?
La plupart des organisations s'appuient sur des informations stockées et accessibles électroniquement, par le biais de nombreux systèmes et réseaux d'information. Avec le stockage et l'accessibilité des informations critiques par des moyens électroniques, il existe un risque inhérent à la manière dont ces informations sont stockées et accessibles, par qui et à quelles fins. L'assurance de l'information est le terme utilisé pour définir les pratiques et les processus impliqués dans la gestion des risques associés afin d'atténuer efficacement les dommages potentiels. Il existe trois modèles d’assurance de l’information couramment utilisés, chacun s’inspirant de son prédécesseur. Ces modèles comprennent la triade CIA, les cinq piliers de l’IA et le modèle Hexad de Parker.
La triade CIA est considérée comme le premier modèle d'assurance de l'information introduit pour définir des pratiques efficaces assurant la sécurité et l'intégrité de l'information. Fondée sur trois composantes principales de la gestion de l'analyse d'impact, la triade CIA porte bien son nom en raison de l'accent mis sur la confidentialité, l'intégrité et la disponibilité au cœur du modèle. De nombreuses organisations, en particulier les agences de renseignement militaires et civiles américaines, comptent sur la triade CIA pour sécuriser à la fois le stockage et l'accès aux données sensibles. Bien que ce modèle serve de base, il manque certains attributs très importants pour la gestion de l’AI. Par la suite, d’autres modèles ont été développés pour prendre en compte ces dimensions.
Reprenant là où le modèle de triade CIA s'interrompt, le modèle d'assurance des informations des cinq piliers ajoute quelques autres dimensions au processus et aux procédures conçus pour sécuriser les informations. Principalement utilisés par le département de la Défense des États-Unis et diverses autres organisations gouvernementales, ces aspects ajoutés incluent la non-répudiation et l'authentification. Les organisations extérieures au gouvernement ont tendance à utiliser une approche mixte de ces deux modèles, en mettant généralement l'accent sur les composants qui, à leur avis, sont les plus importants pour leur mission organisationnelle. Cependant, de nombreuses entreprises ont jugé opportun d’intégrer un modèle plus complet de gestion des risques liés à la garantie de l’information et, partant, de mettre au point un troisième modèle.
Donn B. Parker est responsable de l'introduction du modèle d'assurance de l'information Hexad de Parker, qui met l'accent sur plusieurs attributions identiques, tout en ajoutant un composant supplémentaire et en éliminant les composants qui se chevauchent. Le modèle repose sur six attributs fondamentaux: confidentialité, possession, intégrité, authenticité, disponibilité et utilité. L'authenticité dans ce modèle diffère toutefois de la définition de l'authentification utilisée par le modèle des cinq piliers, faisant référence à la validité des données à tout moment, plutôt que d'identifier et d'accorder un accès aux utilisateurs. Bien que ce modèle ne soit pas aussi répandu dans le déploiement, de nombreuses organisations qui s'appuient sur des informations qui doivent être présentées dans leur format et leur contenu d'origine le préfèrent souvent. Ces organisations peuvent inclure des entreprises juridiques qui doivent s’assurer que les preuves obtenues dans les affaires n’ont pas été altérées.