PICSI

Trois critères de sécurité principaux sont généralement considérés:

• La disponibilité: les informations doivent être accessibles en temps voulu aux tiers habilités à en prendre connaissance.
  
• La confidentialité: seuls les tiers habilités à prendre connaissance d'une information doivent pouvoir le faire.
  
• L'intégrité: les informations doivent être correctes et complètes à tout moment et ne pas pouvoir être modifiées par un tiers non habilité à le faire.
  

Assurer la sécurité de l'information consiste en premier lieu à garantir un niveau de disponibilité, de confidentialité et d'intégrité des informations, en rapport avec les besoins exprimés par l'organisme. 

On reviendra plus loin sur l'expression de ces besoins de sécurité et l'adéquation aux besoins.

Un critère secondaire vient de plus en plus souvent s'y ajouter:

• Imputabilité (ou Preuve):  on veut pouvoir savoir avec certitude quelle entité a produit ou modifié une information, sans que l'entité puisse le nier (on parle de non répudiation).

En second lieu, la sécurité de l'information doit garantir l'imputabilité des informations de l'organisme.

Ces quatre critères sont universellement utilisés pour analyser les risques, mettre en oeuvre une politique de sécurité ou évaluer la sécurité d'un organisme ou d'une solution technique. On les retrouve au coeur de toute démarche sécurité.