.svg)
Vous êtes perdu dans la jungle des termes techniques ?
Explorez notre glossaire pour une meilleure compréhension ! Trouvez des explications claires et concises des concepts essentiels qui vous guideront en toute confiance dans l'univers de notre cabinet. Avec son vocabulaire technique, nos domaines de compétences (Cybersécurité, stratégie, transformation, digital) peut parfois sembler hermétiques. C'est pourquoi nous avons élaboré cette liste pour vous aider à décoder ces termes spécialisés et à faciliter les échanges entre professionnels.
A
Access Control (Contrôle d’accès)
Méthodes et technologies utilisées pour attribuer les rôles, les droits d’écriture, de lecture ou de contrôle. Cela inclut les contrôles d’accès physiques et logiques.
Accountability
Désigne l’obligation imposée par le GDPR/RGPD aux entreprises, de mettre en œuvre des mécanismes, des documents et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Adresse publique (crypto-actifs)
Chaîne de caractères alphanumériques uniques servant de point de référence pour l’envoi et la réception de crypto-actifs sur une blockchain.
AD (Active Directory)
Mise en place d'un annuaire par Microsoft. Ce répertoire central regroupe toutes les données, droits et informations d'authentification des utilisateurs d'un réseau informatique sur les différents systèmes, applications mis en œuvre dans l’entreprise.
Affiliés (affiliates)
Cybercriminels qui mènent des cyberattaques, parfois sophistiquées, en utilisant des outils malveillants mis à disposition par des développeurs ou des concepteurs (eux-mêmes malveillants). Les gains générés par les affiliés sont partagés avec les développeurs via un système de commissions.
Agile
Méthode de gestion de projet itérative et incrémentale qui favorise l'adaptation au changement et la collaboration entre les équipes.
Alignement stratégique
Processus qui vise à assurer la cohérence entre les objectifs stratégiques de l'entreprise et les capacités de ses systèmes d'information
AMOA (Assistance à Maîtrise d'Ouvrage)
Une entité désignée AMOA a pour mission d'assister une autorité ou un responsable dans la réalisation d’un projet (quel qu’il soit)
Analyse d’impact relative à la protection des données à caractères personnels (PIA)
Son objectif est d'examiner en détail les processus et les bases de données d'un département spécifique (finalités, durée de conservation des données, droits des personnes...) afin d'identifier les risques liés à la sécurité des données (accès non autorisés, fraudes...) et d'évaluer leur impact potentiel sur la vie privée. Cela permet ensuite de définir les mesures techniques et organisationnelles nécessaires pour assurer la protection des données.
Analyse de maturité
Permettra d'identifier le niveau de maturité de la fonction, afin de définir un plan de développement par rapport à ses enjeux, son secteur d'activité, objectif...
Analyse post-incident
Évaluation des actions entreprises pendant un incident de sécurité pour identifier les leçons apprises et améliorer les plans de réponse futurs.
Anonymisation
Processus visant à rendre les informations personnelles anonymes de manière que l'individu concerné ne puisse plus être identifié.
Anti-malware
Logiciel destiné à protéger les systèmes contre les logiciels malveillants, y compris les virus, les ransomwares, les chevaux de Troie, etc.
Antivirus
Logiciel conçu pour détecter, prévenir et supprimer les logiciels malveillants connus des éditeurs d'antivirus (malwares) de l’ordinateur ou du réseau.
ANSSI
Agence nationale de la sécurité des systèmes d’information. C'est l'autorité nationale administrative française, placée sous l'autorité du Premier ministre. Son rôle est d'éditer des recommandations et diffuser des connaissances permettant de sécuriser les systèmes d'information, et également de fournir un support aux entreprises et collectivités. Elle est en charge de la lutte défensive des systèmes d’information.
Architecture d'entreprise
Description formelle de la structure et du fonctionnement d'une organisation, incluant ses processus métier, ses applications, ses données et ses infrastructures technologiques.
Attaque par dictionnaire (Dictionary Attack)
Variante de l’attaque par force brute où une liste (type dictionnaire) prédéfinie de mots de passe courants est utilisée pour tenter de deviner le mot de passe.
Attaque par élévation de privilèges
Technique permettant à un attaquant d’obtenir des droits d’accès plus élevés que ceux initialement accordés.
Attaque par exploitation de vulnérabilités (Exploit)
Utilisation de failles de sécurité dans les logiciels ou les systèmes pour exécuter des actions non autorisées et/ou malveillantes.
Attaque par force brute (Brute Force Attack)
Technique consistant à essayer toutes les combinaisons possibles de mots de passe jusqu’à trouver le bon.
Attaque par injection de code (Code Injection)
Technique où l’attaquant insère du code malveillant dans un programme ou un script pour altérer son comportement et se donner ainsi la possibilité d’une élévation de privilège.
Attaque par l’homme du milieu (Man-in-the-Middle, MITM)
Technique où l’attaquant intercepte et éventuellement modifie les communications entre deux parties sans qu’elles s’en aperçoivent.
Attaque par rebond (Pivoting)
Technique utilisée par les attaquants pour accéder à d’autres systèmes au sein d’un réseau compromis en utilisant un système déjà compromis comme point de départ.
Attaque par spear-phishing
Variante ciblée de l’attaque par hameçonnage où l’attaquant personnalise les messages pour une victime spécifique afin d’augmenter les chances de succès.
Attaque par watering hole
Technique où les attaquants compromettent un site web fréquemment visité par la cible pour infecter les visiteurs avec des logiciels malveillants.
ATT&CK
Base de connaissances mondialement accessible et constamment mise à jour qui sert à modéliser, détecter, anticiper et combattre les menaces de cybersécurité en se basant sur les comportements réels des cyberattaquants.
Audit de conformité
Evaluation systématique des pratiques et des contrôles de sécurité d’une organisation pour vérifier leur conformité aux exigences réglementaires et normatives
Autorité d’Enregistrement (RA)
Vérifie l’identité des entités avant de soumettre une demande de certificat à la CA.
Autorité de Certification (CA)
Entité de confiance qui émet et gère les certificats numériques.
B
Base légale d’un traitement pur les données à caractère personnel
Justification d’un traitement. Cette justification peut être :
Le consentement,
L’exécution du contrat,
Une obligation légale,
La sauvegarde des intérêts vitaux de la personne concernée,
Nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
Nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement
Backdoor
Accès secret à un système informatique, installé par les constructeurs et souvent par des cybercriminels pour maintenir un accès non autorisé.
BIA (Business Impact Analysis)
Analyse de l’impact sur les affaires, Processus d’évaluation des effets potentiels d’une interruption des opérations critiques sur les activités d’une organisation.
Biais
Les biais cognitifs représentent des perturbations dans la manière dont notre esprit traite les informations. Il est crucial de les comprendre car ils jouent un rôle stratégique, que ce soit pour les contourner ou les exploiter dans nos prises de décision.
Blackbox
Boite noire. Audit d'intrusion dans lequel les auditeurs ont uniquement accès au système audité par l'extérieur, sans compte utilisateur ou privilège particulier. Cela permet de simuler l'action d'un attaquant qui découvre le système, mais qui n'est pas censé y avoir accès.
Blue Team
Groupe de personnes qui effectuent une analyse des système d'information pour assurer la sécurité, identifier les failles de sécurité, vérifier l’efficacité de chaque mesure de sécurité et veiller à ce que toutes les mesures de sécurité continuent d’être efficaces après leur mise en œuvre.
Blockchain (chaîne de blocs)
Un registre décentralisé opérant au sein d'un réseau diversifié de nœuds (ordinateurs connectés) qui parviennent à un consensus pour valider et ordonner les transactions. Ces dernières sont ensuite consignées dans un registre comptable public, global et exhaustif, qui est dupliqué sur chaque ordinateur du réseau. Elle constitue ainsi une base de données qui contient l'historique de tous les échanges effectués entre ses utilisateurs depuis sa création, sécurisée et distribuée : elle est partagée par ses différents utilisateurs, sans intermédiaire, ce qui permet à chacun de vérifier la validité de la chaîne.
BMS (Building Management System) : Un BMS est un système informatisé de contrôle et de gestion des équipements techniques d’un bâtiment, tels que le chauffage, la ventilation, la climatisation (CVC), l’éclairage et la sécurité. Il optimise les performances énergétiques et le confort des occupants.
Botnet
Contraction de « bot » et « net » qui signifie « réseau de robots ». Un botnet est un réseau d'ordinateurs infectés et contrôlés à distance par par un ou plusieurs acteurs malveillants. Ces ordinateurs, appelés "bots", sont utilisés pour mener des activités malveillantes à grande échelle.
Business case
Analyse rigoureuse justifiant un projet SI, chiffrant les coûts (développement, déploiement, maintenance) et les bénéfices (gains de productivité, réduction des risques, nouveaux revenus). Il permet de prioriser les investissements en démontrant ses avantages financiers et non financiers..
C
Cartographie des données à caractère personnel
Il est essentiel pour une entreprise de dresser une cartographie des processus de collecte des données personnelles, qu'il s'agisse des informations concernant les salariés, les clients ou les potentiels candidats. Il est primordial d'ensuite identifier les différents traitements associés à ces données, ainsi que leurs lieux et formats de stockage, et de consigner le tout méticuleusement dans un registre spécifique.
Carve in/out
Terme d'origine anglo-saxonne, qui se traduit littéralement par "détourage" ou "séparation", revêt une importance cruciale dans le domaine de l'entrepreneuriat. Il s'agit du processus de scission d'une société mère avec un ou plusieurs de ses actifs, permettant ainsi à l'entreprise de formaliser légalement sa séparation avec une de ses entités. Cette réorganisation revêt des enjeux économiques majeurs en permettant à la société mère d'optimiser ses liquidités en cédant des titres de société, des filiales, des actifs commerciaux, des équipements ou des terrains au public. Chaque actif fait l'objet d'une procédure de Carve-out spécifique, adaptée à sa nature.
CERT (Computer Emergency Response Team)
Un centre ayant pour objectifs : d’alerter les entités face aux cyberattaques, mais aussi mener des actions proactives pour répondre à des incidents de sécurité, pour informer et sensibiliser afin de prévenir de telles attaques. De plus, il est vivement encouragé aux différents CERT de collaborer et de coordonner leurs efforts pour garantir une transmission optimale de l'information.
Certificat Numérique
Fichier numérique qui associe de manière sécurisée une clé publique à l'identité de son détenteur.
Cheval de Troie
Logiciel malveillant de contrôle à distance. Logiciel malveillant qui se fait passer pour un programme légitime pour tromper les utilisateurs et obtenir un accès non autorisé.
Chiffrement
Processus visant à convertir un message clair en un message chiffré, rendant ainsi son contenu incompréhensible pour tout tiers n’ayant pas la clé de chiffrement, assurant ainsi la confidentialité de sa transmission.
Clé Publique et Clé Privée
Paires de clés utilisées pour le chiffrement et la signature numérique. La réunion des deux est nécessaire pour déchiffrer un message.
Cloud computing
Modèle de fourniture de services informatiques (stockage, calcul, logiciels) à la demande via Internet.
CNIL
Commission nationale de l’informatique et des libertés. La CNIL est l'autorité administrative indépendante française. Créée en 1978, elle a pour mission de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée et informatique, ni aux libertés individuelles ou publiques.
Confidentialité des données à caractère personnel
D'après l'Organisation internationale de normalisation (ISO), la confidentialité des données à caractère personnel vise à garantir que seules les personnes autorisées y ont accès, assurant ainsi la protection des communications et des données stockées contre toute interception ou lecture par des individus non autorisés.
Consentement explicite pour les données à caractère personnel
Chaque individu doit exprimer son accord de manière explicite, que ce soit à travers une déclaration claire, qu'elle soit écrite ou orale, laissant aucune place à l'ambiguïté. Cette déclaration devra détailler les informations collectées, le mode de traitement et ses possibles répercussions, la distinction entre les réponses obligatoires et facultatives, ainsi que spécifier les données à partager et les risques éventuels liés à cette transmission.
Communication de crise
Stratégies et techniques utilisées pour communiquer efficacement avec les parties prenantes internes et externes pendant une crise.
Confidentialité
Propriété qui garantit que l’information n’est accessible qu’à ceux qui sont autorisés à y accéder.
Conformité réglementaire
Adhésion et application des lois, règlements et normes applicables en matière de cybersécurité et de protection des données.
Contrôle d’accès basé sur les rôles (RBAC)
Méthode de contrôle d’accès qui accorde les permissions en fonction des rôles des utilisateurs au sein de l’organisation.
Contrôle d’accès physique
Mesures de sécurité visant à restreindre l’accès physique aux installations et aux équipements informatiques.
Contrôle d’accès
Mécanismes et politiques permettant de restreindre l’accès aux informations et aux systèmes aux utilisateurs autorisés.
Coordination des secours
Gestion des ressources et des efforts de secours pendant une crise pour minimiser les impacts et restaurer les opérations
Coordination inter-agences
Collaboration entre différentes agences et organisations pour prévenir et gérer une crise de cybersécurité de manière coordonnée.
Contrôle des changements
Processus de gestion des modifications apportées aux systèmes d’information pour minimiser les risques de perturbation et garantir la conformité.
CPS
Les systèmes cyber-physiques, ou CPS, regroupent des entités informatiques qui travaillent ensemble pour contrôler des entités physiques telles que des actionneurs. Ils sont largement utilisés dans divers secteurs, notamment dans les usines où un convoyeur peut être considéré comme un exemple de système cyber-physique.
Crypto-actif
Actif numérique. Il s'agit essentiellement d'une unité de valeur numérique qui utilise la cryptographie pour sécuriser des transactions, vérifier la transfertabilité des actifs et enregistrer les transactions de manière permanente sur une blockchain.
Cryptographie
la cryptographie est une technique d'écriture où un message chiffré est écrit à l'aide de codes secrets ou de clés de chiffrement. La cryptographie est principalement utilisée pour protéger un message considéré comme confidentiel.
Cryptologie
Science du chiffrement et du déchiffrement des informations pour assurer la confidentialité, l’intégrité et l’authenticité des données. Elle réunit la cryptographie (« écriture secrète ») et la cryptanalyse (étude des attaques contre les mécanismes de cryptographie).
CSIRT
"Computer Security Incident Response Team". Cet acronyme est préféré dans les pays en dehors des États-Unis, car CERT est une marque déposée par l'Université américaine Carnegie-Mellon.
CSRF (Cross-Service Request Forgery)
Une faille de sécurité d'une application qui ne vérifie pas correctement les autorisations accordées à un utilisateur pour effectuer une action. L'attaquant tente de déclencher, par divers moyens, une URL auprès d'un administrateur connecté à l'application. Ce dernier exécute alors l'action, souvent délicate, telle que l'ajout d'un utilisateur ou l'octroi de privilèges, sans vérifier si l'administrateur l'a intentionnellement déclenchée.
CVE (Common Vulnerabilities and Exposure)
Le système CVE permet de répertorier et de catégoriser les failles de sécurité des logiciels à l'échelle mondiale. Chaque vulnérabilité est identifiée par un code unique comprenant l'année de sa découverte et un score CVSS.
CVSS (Common Vulnerability Scoring System).
Ce système de notation des vulnérabilités logicielles permet d'évaluer de manière précise la gravité de chaque faille. Il prend en compte divers critères, tels que les conditions d'exploitation de la vulnérabilité (nécessité d'accès au service ou simplement à distance), la facilité d'exploitation (accessible aux attaquants novices ou non), et l'impact sur la sécurité du système vulnérable. L'échelle de classification de l'ANSSI, utilisée dans nos audits, constitue en fin de compte une simplification de ce système.
Cybercriminalité en tant que service (Cybercrime-as-a-Service, CaaS)
Mise à disposition en ligne de services ou de conseils cybercriminels. C'est un modèle économique qui a émergé dans le monde de la cybercriminalité. Il s'agit d'une véritable industrialisation du crime numérique, où des services malveillants sont proposés à la location, de la même manière qu'un service en ligne légitime. Plusieurs déclinaisons existent selon le type de phénomène, tels que le RaaS (rançongiciel), le BaaS (botnet), le MaaS (malware), etc.
Cyberespace
Univers de communication virtuel et sans limite formé par l'interconnexion d'appareils de traitement automatique de données numériques.
Cyberharcèlement
Comportement intentionnel d'une personne ou d'un groupe de personnes utilisant des moyens de communication électroniques pour cibler de manière répétée une victime, entraînant une détérioration de sa qualité de vie.
Cyber Resilience Act (CRA) : Le CRA est une législation européenne qui introduit des règles communes en matière de cybersécurité pour les fabricants et les développeurs de produits comportant des éléments numériques. Il vise à protéger les consommateurs et les entreprises contre les risques de cybersécurité associés aux matériels et logiciels connectés.
D
DA (Domain Admin)
Un administrateur de domaine est un utilisateur ayant des autorisations spécifiques sur les réseaux Windows d'une entreprise, lui permettant de se connecter aux contrôleurs de domaine pour effectuer des tâches d'administration sur le réseau informatique. Ces comptes hautement privilégiés sont souvent la cible des attaquants cherchant à compromettre la sécurité du système.
Darkmarket
Pages ou sites web proposant la vente de services ou objets, le plus souvent illicites, via le darkweb. Ces plateformes, souvent accessibles uniquement via des réseaux anonymes, offrent un environnement crypté et obscur aux criminels pour mener leurs activités.
Darknet
Réseaux tels que Tor ou Freenet qui permettent d’accéder à des ressources cachées du web traditionnel, utilisant des protocoles spécifiques intégrant des fonctions d'anonymat. La somme des informations accessibles sur les darknets forme le darkweb.
Darkweb
Une partie d'internet qui n'est pas indexée par les moteurs de recherche classiques comme Google. Il s'agit d'un réseau superposé, c'est-à-dire qu'il utilise l'infrastructure existante d'internet mais avec des protocoles et des logiciels spécifiques conçus pour assurer l'anonymat des utilisateurs.
DC (Domain Controller)
Il s'agit d'un serveur Windows essentiel dans la gestion et l'administration de toutes les machines d'un réseau d'entreprise sous Windows. Ces machines, souvent très privilégiées, sont généralement la cible visée des attaquants.
DCS (Système de Contrôle Distribué)
Système de contrôle utilisé pour gérer les processus industriels complexes en répartissant les tâches de contrôle sur plusieurs unités.
DDOS (Distributed Denial of Service)
Déni de service distribué en français. Une attaque qui vise à saturer les ressources d'un serveur informatique en le bombardant de requêtes émanant d'un grand nombre d'adresses IP différentes. Les personnes qui procèdent à ce genre d'attaques contrôlent généralement un réseau de bots ou ordinateurs zombies, c'est à dire des ordinateurs qui ont été infectés et qui sont contrôlés silencieusement par l'attaquant.
Déclaration CNIL
Démarche administrative menée auprès de la CNIL pour autoriser le traitement des données personnelles au sein d'une organisation. Cette procédure est désormais obsolète depuis 2018 avec la mise en place du GDPR/RGPD et est remplacée par un processus de tenue d'un registre.
Deepfake (hypertrucage)
Technique de manipulation d’un contenu numérique basée sur l’intelligence artificielle (IA). Elle permet notamment de créer de faux contenus rendant possible l’usurpation de l’identité d’une personne. Cette méthode permet de superposer un visage ou une voix sur une autre personne existante, créant ainsi une vidéo ou un enregistrement audio qui semble authentique mais qui est en réalité une falsification.
Defense in Depth (Défense en profondeur)
Stratégie de sécurité qui utilise plusieurs couches de défense pour protéger les informations et les systèmes. Si une couche est compromise, les autres couches continuent de fournir une protection.
Défiguration de sites internet
C'est est une attaque informatique qui consiste à altérer volontairement l'apparence d'un site web, souvent en remplaçant son contenu habituel par des messages, images ou vidéos non autorisés. C'est un peu comme du vandalisme, mais dans le monde numérique.
Demande de droit (RGPD)
L'exercice des droits est une démarche permettant aux individus de faire valoir les droits qui leur sont conférés en vertu du Règlement Général sur la Protection des Données (RGPD). Ces droits englobent :
Le droit d'accès, le droit de rectification, le droit à l'effacement, le droit à la portabilité des données, le droit d'opposition, le droit de ne pas faire l'objet d'une décision automatisée.
Déni de service (DoS)
Vise à rendre un service informatique indisponible pour ses utilisateurs légitimes. En clair, le but de l'attaquant est de saturer un serveur ou un réseau avec un volume de requêtes tellement important qu'il ne peut plus répondre aux demandes normales.
DKIM (DomainKeys Identified Mail)
Méthode d’authentification des emails qui permet au domaine de l’expéditeur de signer numériquement les emails, garantissant ainsi leur intégrité et leur authenticité.
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
Protocole qui utilise SPF et DKIM pour authentifier les emails et permet aux propriétaires de domaines de définir des politiques sur la manière de traiter les emails non authentifiés.
DMZ (Demilitarized Zone)
Segment réseau physique ou logique qui isole un réseau local (LAN) des autres réseaux non sécurisés, tels qu'Internet. Ce segment agit comme une barrière de protection pour préserver le réseau interne des flux de données non fiables.
Données à caractère personnel
Éléments d’identification (DCP) se rapportant à une personne physique identifiée ou identifiable. Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale (NIR), un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.
Données sensibles
Informations concernant l'origine raciale, ethnique, les opinions politiques, philosophiques, religieuses, l'appartenance syndicale, la santé ou la vie intime. En général, ces données sensibles ne doivent être collectées et utilisées qu'avec le consentement explicite des individus. Il est important de ne pas confondre la sensibilité d'une donnée dans le sens commun du terme, par exemple le salaire d'un employé par rapport à celui du directeur général. Bien que ces données aient des niveaux de sensibilité différents dans le sens commun, elles ne sont pas considérées comme des données sensibles au sens juridique du terme.
DPO ou DPD (Data Protection Officer)
C'est le responsable de la protection des données au sein d'une entreprise, notamment des données personnelles qu'elle peut détenir. C'est une figure clé introduite par le Règlement Général sur la Protection des Données (RGPD) pour garantir la protection des données personnelles au sein des organisations.
DPI (Deep Packet Inspection)
L'inspection de paquets en profondeur est une méthode qui consiste à récupérer la couche applicative d’un paquet afin d’analyser son contenu si ce dernier n’est pas chiffré.
Draineur (crypto-actifs)
Logiciel malveillant visant à inciter un utilisateur à valider une transaction permettant le détournement de ses crypto-actifs.
Droit d’accès aux données à caractère personnel
Les individus ont le droit de demander au responsable du traitement :
La vérification du statut du traitement de leurs données personnelles
En cas de traitement, l'accès à ces données personnelles
L'accès aux détails des traitements effectués sur leurs données personnelles.
Droit à la limitation des traitements
Possibilité de restreindre le traitement des données à caractère personnel par une entité si ce traitement n'est plus légitime.
Droit à l’oubli/ Droit à l’effacement
Le droit de demander au responsable du traitement la suppression de ses données à caractère personnel.
Droit d’opposition
Faculté de s'opposer en tout temps, pour des motifs liés à sa situation spécifique, au traitement de ses données personnelles.
Droit à la portabilité
Le droit de recevoir de la part du responsable du traitement ses données personnelles dans un format structuré, facilement accessible et exploitable par des machines, et de les transférer à un autre responsable du traitement sans entrave de la part du premier responsable auquel les données ont été initialement fournies.
Droit à la rectification
Droit de demander à ce que ses données personnelles inexactes soient corrigées par le responsable du traitement.
DevOps
Ensemble de pratiques qui combine le développement logiciel (Dev) et les opérations informatiques (Ops) pour accélérer la livraison de nouvelles fonctionnalités et améliorer la qualité des services
Due diligence
Traduit par vérification diligente en français, est un processus d'investigation approfondie mené avant de prendre une décision importante, généralement dans le cadre d'une transaction financière ou d'un investissement. Elle vise à évaluer de manière exhaustive tous les aspects d'une situation donnée afin de prendre une décision éclairée et de minimiser les risques.
E
EBIOS RM (EBIOS Risk Manager)
EBIOS RM est une méthode française d’appréciation et de traitement des risques numériques, publiée par l’ANSSI. Elle permet aux organisations d’identifier les risques, de déterminer les mesures de sécurité adaptées et de mettre en place un cadre de suivi et d’amélioration continue.
ECSC (European Cyber Security Challenge)
Un défi de cybersécurité européen dédié aux jeunes passionnés âgés de 14 à 25 ans, offrant aux équipes de différents pays européens l'opportunité de rivaliser lors de diverses épreuves de sécurité.
EDR (Endpoint Detection and Response)
La Détection et la Réponse sur les Terminaux (EDR) sont des technologies déployées sur les endpoints, c'est-à-dire les ordinateurs et serveurs, qui permettent d'identifier et éventuellement mettre un terme aux activités suspectes. Les EDR sont conçus pour repérer les comportements malveillants plutôt que de se baser sur des signatures de fichiers, qui peuvent être contournées facilement, contrairement aux solutions antivirus traditionnelles.
Équipe de réponse à incident (IRT)
Groupe de professionnels formés pour répondre rapidement et efficacement aux incidents de sécurité.
Équipement Électronique Intelligent (IED)
Dispositif utilisé pour protéger et contrôler les systèmes électriques dans les infrastructures industrielles.
ERM (Enterprise Risk Management)
Gestion des risques d’entreprise, une approche large qui prend en compte tous les types de risques auxquels une organisation peut être confrontée.
Évaluation de la résilience
Analyse de la capacité d’une organisation à résister et à se remettre rapidement d’une crise de cybersécurité.
Évaluation de la maturité de la sécurité
Processus d’évaluation du niveau de maturité des pratiques de sécurité d’une organisation par rapport à des normes ou des cadres de référence.
EVPN (Ethernet Virtual Private Network)
Un protocole réseau visant à sécuriser les informations échangées sur une liaison. En opérant au niveau des couches inférieures du modèle OSI, ce chiffrement est conçu pour être plus performant et optimisé que les VPN classiques.
ETSI-ISI (European Telecommunications Standards Institute - Information Security Indicators)
L'ETSI est un organisme européen de normalisation, indépendant et à but non lucratif, qui développe et publie des normes et des spécifications techniques dans le domaine de la sécurité de l'information. Ces normes sont reconnues à l'échelle internationale et servent de référence pour évaluer la sécurité des systèmes d'information.
Exfiltration de données
Processus par lequel des données sensibles sont transférées illicitement hors d’un réseau compromis.
F
Faux ordres de virement (FOVI)
Mode opératoire qui vise à détourner des fonds en incitant une victime à effectuer un virement bancaire sur un compte frauduleux. Les escrocs usurpent généralement l'identité d'un fournisseur, d'un partenaire commercial ou d'un supérieur hiérarchique pour rendre leur demande plus crédible.
FIC (Forum International de la Cybersécurité)
Le rendez-vous incontournable de la sécurité informatique, qui se tient depuis plusieurs années au Grand Palais de Lille à la fin du mois de janvier. Avangarde Consulting y assiste tous les ans !
Finalité (dans le cadre du RGPD)
Objectif principal d'un traitement de donnée personnelle. Par exemple : optimisation des processus de recrutement, gestion efficace de la relation client, enquêtes de satisfaction approfondies, surveillance sécurisée des locaux, etc.
Finance décentralisée (DeFi)
C'est un système financier alternatif qui utilise la technologie blockchain pour effectuer des transactions financières sans passer par les intermédiaires traditionnels tels que les banques ou les institutions financières.
Forensic (Légal)
(investigation numérique) est un domaine scientifique souvent rattaché à divers crimes informatiques, dans lequel on cherche à récupérer et analyser des supports numériques potentiellement suspicieux. L'analyse forensique présente de multiples applications. Elle intervient fréquemment pour étayer ou contredire une hypothèse. De plus, elle trouve également sa place dans le secteur privé. En cas de cyberattaque, il est essentiel d'examiner les intrusions pour évaluer précisément l'impact sur le système d'information.
Forum
Plateforme en ligne permettant aux internautes d'échanger et de communiquer. Souvent utilisé par les cybercriminels, accessible à la fois sur le clearweb et le darkweb.
FOVI (Faux Ordres de Virement)
Une technique d'escroquerie sociale où l'attaquant cherche à inciter une entreprise à effectuer un transfert de fonds frauduleux vers un compte bancaire sous son contrôle. Cette pratique est également connue sous le nom de "fraude au virement" ou "arnaque au président", car elle implique souvent l'usurpation de l'identité du président de la société.
G
G29
Groupe de travail européen indépendant sur la protection des données et la vie privée, réunissant les représentants de chaque autorité de protection des données nationale (équivalents des CNIL locales). Sa mission est de contribuer à l'élaboration des normes européennes en émettant des recommandations et des avis pertinents.
Gestion de la conformité
Ensemble de pratiques visant à garantir que les activités d’une organisation respectent les lois, règlements et normes applicables.
Gestion des correctifs
Processus de gestion et d’application des mises à jour logicielles pour corriger les vulnérabilités de sécurité.
Gestion de crise
Ensemble de méthodes et de stratégies mises en œuvre par une organisation pour faire face à une situation d'urgence, imprévue et potentiellement dangereuse pour son image, ses activités ou ses employés. Elle vise à limiter les dégâts, à protéger les intérêts de l'entreprise et à restaurer sa réputation.
Gestion des fournisseurs
Processus de gestion des risques associés aux fournisseurs et aux tiers qui ont accès aux systèmes d’information d’une organisation.
Gestion des identités et des accès (IAM)
Ensemble de politiques et de technologies pour garantir que les bonnes personnes ont accès aux bonnes ressources au bon moment.
Gestion des incidents de sécurité
Ensemble de procédures pour détecter, analyser et répondre aux incidents de sécurité afin de minimiser leur impact.
Gestion des médias
Stratégies et techniques pour gérer les interactions avec les médias pendant une crise de cybersécurité.
Gestion des parties prenantes
Processus de gestion des attentes et des communications avec les parties prenantes internes et externes pendant une crise.
Gestion des risques
Processus visant à identifier, évaluer et traiter les risques liés à la sécurité de l'information.
Gestion des vulnérabilités
Processus continu d’identification, d’évaluation et de traitement des vulnérabilités dans les systèmes d’information.
Gouvernance des SI
Ensemble de processus, de rôles et de responsabilités qui assurent que les SI sont utilisés de manière efficace et efficiente pour atteindre les objectifs de l'entreprise.
GPO (Group Policy Object)
Les GPO sont des réglages déployés par les administrateurs Windows sur les postes de travail et serveurs de l'entreprise, permettant d'appliquer des restrictions, des privilèges, des scripts et de modifier les paramètres sans intervention manuelle sur chaque machine.
GRC (Governance, Risk Management, and Compliance)
Il représente un système intégré de gestion permettant aux organisations de coordonner de manière harmonieuse et efficace leurs pratiques en matière de gouvernance, de gestion des risques et de conformité. Son objectif est d'harmoniser les objectifs de l'entreprise avec les exigences réglementaires tout en réduisant au minimum les risques encourus.
Greybox (boîte grise)
Dans le cadre d'un test d'intrusion, les auditeurs ont la possibilité d'accéder à divers comptes utilisateurs au sein d'une même application, chacun correspondant à des niveaux de privilèges distincts. Cette approche permet de vérifier de manière approfondie la mise en place efficace des mécanismes de contrôle d'accès et permet devoir si des utilisateurs peuvent avoir accès à des SI ou informations de manière non autorisée.
H
Hameçonnage (phishing)
Méthode de fraude en ligne visant à obtenir des données personnelles sensibles (comme les mots de passe, les numéros de carte de crédit, etc.) en se faisant passer pour une entité digne de confiance, souvent par le biais d'un courriel frauduleux imitant par exemple un site institutionnel.
Habilitation
Capacité légale à réaliser des actions spécifiques ou à exercer des pouvoirs déterminés. Il s'agit de garantir l'accès uniquement aux données essentielles pour l'accomplissement des missions, après avoir clairement défini les responsabilités des utilisateurs. Une évaluation annuelle des habilitations est indispensable pour repérer et supprimer les comptes inutilisés, ainsi que pour ajuster les droits en fonction des rôles de chaque utilisateur.
Hashage
Processus de transformation d’un message ou d’un fichier en une chaîne de caractères de longueur fixe, appelée hash. Les fonctions de hashage courantes incluent MD5, SHA-1 et SHA-256. Le hashage est utilisé pour vérifier l’intégrité des données.
HUMINT (Human Intelligence)
Méthode de collecte d'informations qui repose sur des sources humaines. Ces sources peuvent être des agents secrets, des informateurs, des témoins... etc
I
IAM (Identity Access Management)
Gestion des accès et des identités, Processus de gestion des identités numériques et des droits d’accès des utilisateurs aux ressources d’une organisation.
ICS (Industrial Control System)
Un terme général qui englobe tous les appareils utilisés pour garantir le contrôle, la gestion et la surveillance des systèmes industriels.
IDS (Intrusion Detection System)
Un système de détection d'intrusion surveillant activement un réseau informatique afin de repérer en temps réel les attaques, en se basant principalement sur les comportements ou la réputation des utilisateurs. Certains systèmes peuvent également utiliser des signatures pour détecter les menaces, même si cette méthode est de moins en moins efficace face aux attaques ciblées.
IEC 62443
Série de normes internationales qui couvrent la sécurité des systèmes d’automatisation et de contrôle industriels (IACS) tout au long de leur cycle de vie. Elle adopte une approche holistique et basée sur les risques pour protéger les infrastructures critiques contre les cyberattaques et assurer la continuité des activités
Initial access broker
En français "courtier d'accès initial", est un acteur du cybercrime qui se spécialise dans la vente d'accès à des réseaux informatiques compromis. Ce sont en quelque sorte les "revendeurs" du monde cybercriminel.
IIoT, Industrial Internet of Things
Internet des Objets Industriels, Réseau d’appareils connectés utilisés dans les environnements industriels pour collecter et analyser des données afin d’améliorer l’efficacité et la sécurité.
Intégrité
Propriété qui assure que l’information est exacte et complète, et qu’elle n’a pas été modifiée de manière non autorisée.
Intelligence économique
Ensemble de méthodes et d'outils destinés à collecter, analyser et valoriser de l'information stratégique. Cette information peut provenir de sources diverses : rapports, études, brevets, médias, réseaux sociaux, etc. Le but est de fournir aux entreprises, aux institutions ou aux États une meilleure compréhension de leur environnement, de leurs concurrents et des opportunités qui s'offrent à eux.
Ingénierie sociale
Technique de manipulation psychologique visant à obtenir des informations confidentielles en trompant une personne. Les attaquants exploitent les failles humaines, telles que la confiance, la curiosité ou l'urgence, pour inciter leurs victimes à divulguer des données sensibles ou à effectuer des actions qui compromettent leur sécurité.
IoT (Internet of Things)
Internet des objets, désigne un réseau d’objets physiques connectés à Internet, capables de collecter et d’échanger des données. Ces objets peuvent inclure des appareils domestiques, des capteurs industriels, des véhicules, et bien plus encore
IPS (Intrusion Prevention System)
Le système IDS évolue en intégrant des fonctionnalités de prévention des intrusions pour bloquer les attaques détectées.
ISO:19011
Norme internationale qui fournit des lignes directrices détaillées sur la manière de mener des audits de systèmes de management. Elle s'adresse à toutes les organisations, quelle que soit leur taille ou leur secteur d'activité, qui souhaitent mettre en place un processus d'audit efficace et fiable.
ISO:27001
Norme internationale qui spécifie les exigences pour mettre en place, maintenir et améliorer continuellement un système de management de la sécurité de l'information (SMSI). En d'autres termes, elle fournit un cadre rigoureux pour protéger les informations sensibles d'une organisation.
J
Journalisation
Enregistrement des événements et des activités dans les systèmes d’information pour permettre la surveillance, la réponse à incident et l’audit.
K
Keychain (trousseau de clés)
Il s'agit du système développé par Apple pour ses systèmes macOS et iOS permettant le stockage sécurisé et le contrôle d'accès des "secrets" des utilisateurs (mots de passe, clés de chiffrement, certificats...). Outil ou un logiciel utilisé pour stocker de manière sécurisée des mots de passe, des clés de chiffrement et d'autres informations sensibles.
Keylogger
Programme ou dispositif qui capture discrètement les saisies clavier afin de subtiliser des données sensibles telles que des mots de passe.
L
LAN (Local Area Network, Réseau Local)
Il s'agit du réseau informatique interne d'une entreprise, qui relie les serveurs et postes de travail entre eux (ordinateurs, imprimantes, smartphones, etc.) et est généralement isolé de l'accès extérieur via Internet. En opposition au WAN, qui englobe la partie du réseau informatique exposée sur Internet.
LAPS (Local Admin Password Solution)
Technologie développée par Microsoft pour améliorer la sécurité des comptes administrateurs locaux sur les postes de travail et les serveurs Windows.
LDAP (Lightweight Directory Access Protocol)
Protocole léger d'accès aux annuaires. Il établit le mode de communication avec un annuaire pour la lecture ou l'enregistrement des données. Au fil du temps, il a évolué pour définir la structuration, le stockage et la désignation des données au sein d'un annuaire.
Least Privilège (Moindre privilège)
Ce concept de sécurité consiste à accorder aux utilisateurs le niveau d’accès minimum nécessaire pour accomplir leurs tâches. Cela réduit les risques en limitant les permissions et en empêchant l’accumulation de privilèges inutiles.
Principe de licéité
Les informations personnelles ne peuvent être recueillies et utilisées que dans un but spécifique et légitime, en adéquation avec les responsabilités du responsable de traitement.
LLMNR (Link-local Multicast Name Resolution)
Un protocole de résolution de nom utilisé sur les réseaux locaux Windows, vulnérable aux attaques d'usurpation d'identité. Il est recommandé de le désactiver après avoir configuré un serveur DNS sécurisé.
Liste de Révocation de Certificats (CRL)
Outil essentiel dans la gestion de la sécurité des certificats numériques. Elle répertorie tous les certificats qui ont été révoqués avant leur date d'expiration, permettant ainsi aux entités de confiance de vérifier la validité des certificats utilisés dans un système. En cas de compromission d'un certificat ou de tout autre incident de sécurité, la CRL permet de prendre des mesures immédiates pour garantir l'intégrité et la confidentialité des informations échangées. Il est donc primordial de maintenir cette liste à jour et de la consulter régulièrement pour assurer une sécurité optimale dans un environnement informatique.
Loi informatique et libertés
Loi principale française datant du 6 janvier 1978 sur la protection des données personnelles.
LOPMI
Loi d’orientation et de programmation du ministère de l’Intérieur. Il s'agit d'un texte législatif français qui définit les grandes orientations et les moyens mis en œuvre par le ministère de l'Intérieur pour les années à venir.
LOPMJ
Loi d’orientation et de programmation du ministère de la Justice. Loi française qui définit les grandes lignes des politiques menées par le ministère de l'Intérieur pour une période donnée. Elle fixe les objectifs, les moyens et les priorités en matière de sécurité intérieure, de gestion des crises, de police, etc.
LPM (Loi de Programmation Militaire)
La LPM est une loi française qui détermine les orientations pluriannuelles des finances publiques pour la défense sur une période de 4 à 7 ans. Elle fixe les priorités et les ressources allouées aux forces armées pour assurer la sécurité nationale. Elle prévoit aussi les obligations des OIV pour les mesures de sécurité physique et informatique.
M
MARION (Méthode d'Analyse de Risques Informatiques Optimisée par Niveau)
C'est une méthode d'analyse des risques d'origine française, similaire à EBIOS par exemple. Son objectif est d'identifier les risques auxquels une entreprise est exposée, pour ensuite pouvoir y remédier efficacement. Cette méthode est considérée comme la précurseur de MEHARI (Méthode Harmonisée d'Analyse des Risques).
Maliciel (malware)
Logiciel malveillant, également connu sous le terme de malware, est un programme conçu dans le but de perturber un système informatique ou un réseau. Il englobe toute forme de logiciel conçu pour infiltrer, altérer ou accéder à un système informatique sans autorisation préalable de l'utilisateur.
Malvertising
Contraction de « malicious » et de « advertising », Il s'agit d'une technique de cyberattaque qui utilise la publicité en ligne comme vecteur pour diffuser des logiciels malveillants.
MCO (Maintien en Conditions Opérationnelles)
La phase finale d'un projet informatique vise à assurer sa pérennité dans le temps en supervisant, entretenant et mettant à jour les ressources informatiques. Malheureusement, cette étape est souvent négligée, alors qu'elle est essentielle pour réduire les risques d'incidents de sécurité.
Mesure de sécurité
Les responsables de traitement et les sous-traitants doivent mettre en place toutes les mesures nécessaires pour garantir la sécurité et la confidentialité des données personnelles qu'ils manipulent : Cela comprend des mesures de sécurité physiques telles que le contrôle d'accès aux locaux ; Ainsi que des mesures de sécurité informatiques telles que l'utilisation d'antivirus et la sécurisation des mots de passe, entre autres. Il est également primordial de s'assurer que seuls les destinataires autorisés aient accès aux données sensibles.
Microsegmentation
Technique de sécurité qui divise le réseau en segments plus petits et sécurisés pour limiter les mouvements latéraux des attaquants.
Migration du SI
Transfert d'un SI vers une nouvelle plateforme (cloud, nouveau logiciel, nouvelle version). Elle peut être motivée par l'obsolescence, la recherche de performance ou de fonctionnalités. Elle nécessite une planification minutieuse et une gestion des risques.
Minage de crypto-actifs
Processus visant à renforcer la sécurité d'une blockchain en contribuant avec sa puissance de calcul ou en engageant des crypto-actifs, afin de créer de nouveaux blocs et de déterminer l'ordre des transactions. En récompense de leur travail de minage, les mineurs reçoivent des crypto-actifs fraîchement créés ainsi que des frais de transaction.
Minage de crypto-actifs malveillant (cryptojacking)
Forme de cyberattaque où les pirates informatiques utilisent les ressources d'ordinateurs, de serveurs ou d'autres appareils connectés à Internet sans le consentement de leurs propriétaires pour miner des cryptomonnaies. En d'autres termes, ils détournent la puissance de calcul de vos appareils pour enrichir leurs propres portefeuilles de cryptomonnaies.
Minimisation
La collecte et l'utilisation des données sont restreintes à l'objectif spécifique du traitement. Cela incite les entreprises à éliminer les données superflues et à définir clairement les informations essentielles pour chaque application.
Mixeur crypto-actifs
Plateforme illégale de mixage de crypto-actifs permettant de brouiller les pistes et de rendre les transactions indétectables.
Modèle PICERL
Le modèle PICERL est un cadre de gestion des incidents de sécurité qui comprend six phases : Préparation (Preparation), Identification (Identification), Confinement (Containment), Éradication (Eradication), Récupération (Recovery) et Leçons apprises (Lessons Learned).
Modèle Purdue
Le modèle Purdue, ou Purdue Enterprise Reference Architecture (PERA), est un modèle de référence pour l’automatisation et les réseaux industriels. Il divise les réseaux en niveaux hiérarchiques pour structurer et protéger les systèmes de contrôle industriel (ICS) contre les cybermenaces.
Modbus
Protocole fréquemment utilisé dans le secteur industriel, ce protocole de communication série ouvert et non propriétaire, largement utilisé dans l'industrie pour interconnecter différents équipements, tels que des automates programmables industriels (API), des capteurs, des actionneurs et d'autres dispositifs. Il permet d'échanger des données numériques entre ces équipements, facilitant ainsi la supervision et le contrôle des processus industriels.
Money mule
Agent de transfert de fonds, facilitant le blanchiment de bénéfices frauduleux.
MSP (Managed Service Provider)
Un MSP administre les services informatiques à distance, offrant des revenus récurrents grâce à des abonnements et déchargeant les clients de la gestion de leur système.
Multi-Factor Authentication (MFA) (Authentification multi-facteurs)
Méthode de contrôle d’accès qui nécessite plusieurs formes de vérification pour prouver l’identité d’un utilisateur. Cela peut inclure quelque chose que l’utilisateur connaît (mot de passe), quelque chose qu’il possède (carte à puce) et quelque chose qu’il est (empreinte digitale).
N
Need to Know (Besoin de connaître)
Ce principe stipule que l’accès à l’information sensible doit être limité uniquement aux personnes qui en ont besoin pour accomplir leurs tâches spécifiques. Même si une personne a les autorisations nécessaires, elle ne recevra l’accès que si cela est indispensable pour ses fonctions.
NIS2
S’appuie sur les acquis de la directive NIS 1. Cette Directive Européenne qui doit être transposée au niveau national de chaque pays membre (fin 2024). Elle vise à évaluer et mettre en place de façon proactive des mesures sécuritaires, mais aussi à réagir de façon plus efficace, et coordonnée en cas d’incident de cybersécurité avéré. L’objectif clairement annoncé est de mitiger le risque lié aux cyberattaques, et améliorer la résilience associée.
Notification de violation de données
Survient lorsque les données dont votre entreprise/organisation est responsable subissent un incident de sécurité qui entraîne une violation de la confidentialité, de la disponibilité ou de l'intégrité.
NBT-NS (NetBIOS over TCP/IP Name Service)
Système de nommage développé par IBM, ou protocole réseau utilisé pour la résolution de noms dans les environnements Microsoft. Il permet de traduire des noms NetBIOS (par exemple, le nom d'un ordinateur sur un réseau local) en adresses IP.
NTLM (New Technologies Lan Manager)
Protocoles de sécurité développés par Microsoft pour authentifier les utilisateurs et les ordinateurs sur un réseau. Il a été conçu pour remplacer le protocole LAN Manager plus ancien et moins sécurisé. À des fins de différenciation, le protocole d'authentification réseau est généralement appelé Net-NTLM et existe en deux versions : Net-NTLMv1 et Net-NTLMv2.
O
OIV (Opérateur d'Importance Vitale)
Il s'agit d'une classification spécifique en France qui identifie les organismes jouant un rôle crucial ou potentiellement dangereux pour la population. En conséquence, des normes de sécurité renforcées sont imposées pour ces entités par l'ANSSI et NIS2. Parmi elles se trouvent des entreprises opérant dans le secteur de l'énergie, du transport, des communications, de la production de substances dangereuses, ainsi que celles impliquées dans des activités militaires ou de recherche.
OSE (Opérateur de services essentiels)
Opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.
OT (Operational Technology)
L’OT désigne l’utilisation de matériel et de logiciels pour surveiller et contrôler les dispositifs et les processus physiques dans les environnements industriels. Elle est couramment utilisée dans les systèmes de contrôle industriel (ICS) pour
assurer la sécurité et l’efficacité des opérations.
OTP (one-time password)
Code de sécurité renouvelé à chaque authentification pour une protection supplémentaire, utilisé dans l'authentification à deux facteurs (2FA) pour garantir un niveau de sécurité élevé.
OTP bot
Un programme automatisé malveillant utilisé par des cybercriminels pour contourner les systèmes d'authentification à deux facteurs (2FA) et accéder aux services en ligne de la victime. Les bots OTP exploitent principalement le processus habituel de génération de mots de passe à usage unique pour l'authentification en ligne, trompant ainsi la victime en lui faisant croire qu'ils proviennent de l'entité souhaitée par l'utilisateur.
P
Pays reconnu comme disposant d’un niveau de sécurité adéquat par la Commission Européenne
Pays autorisés pour les transferts de données personnelles : la Suisse, le Canada, Andorre, l’Argentine, les États-Unis (pour les entreprises certifiées par le bouclier de protection des données UE-États-Unis ou "Privacy Shield"), Guernesey, l’île de Man, les îles Féroé, Jersey, Israël, la Nouvelle-Zélande et l’Uruguay.
Pare-feu (Firewall)
Dispositif de sécurité réseau qui surveille et contrôle le trafic réseau entrant et sortant en fonction de règles de sécurité prédéfinies.
PASSI (Prestataires-Auditeurs de la Sécurité des Systèmes d'Information)
Cette certification distingue les entreprises spécialisées en audit de sécurité et leurs experts qui respectent les critères établis par l'ANSSI pour leurs services. Des évaluations régulières sont effectuées afin de garantir que les détenteurs de cette qualification maintiennent un niveau de sécurité optimal au fil du temps.
PLC (Programmable Logic Controller)
Ce sont des machines spécialement conçues pour superviser les systèmes industriels. Leur performance est particulièrement adaptée pour opérer avec des équipements industriels dans des environnements complexes, où les conditions telles que la température, les vibrations ou la poussière peuvent rendre les opérations plus délicates.
PCA (Plan de Continuité d'Activité)
Un ensemble de mesures permettant à une entreprise de continuer à fonctionner en cas de sinistre, panne ou incident majeur, tout en minimisant la durée d'interruption éventuelle. L'une des premières étapes est la réalisation d'une analyse de risques.
PIA
Le Privacy Impact Assessment (PIA) — en français, « évaluations de l’impact sur la vie privée » ou AIPD pour « analyses d'impact relatives à la protection des données » — est une méthode conçue et validée par le groupe de travail Article 29 sur la protection des données (G29), le groupe des autorités de contrôle sur les données personnelles européennes (ex. : la CNIL, en France), pour réaliser des analyses d'impact requises par le Règlement général sur la protection des données concernant la protection des données personnelles, appliqué depuis le 25 mai 2018 dans toute l'Union européenne.
PKI (Infrastructure à Clés Publiques)
Ensemble de technologies, de procédures et de politiques permettant de gérer les clés publiques et les certificats numériques. Elle assure la confidentialité, l’intégrité, l’authenticité et la non-répudiation des communications électroniques.
Plan d'action
Ensemble de mesures, de tâches ou d'actions à mettre en œuvre pour mener à bien un projet. Ce document détaillé décrit les différentes étapes nécessaires à la réalisation du projet, les délais à respecter et désigne un responsable chargé de superviser les tâches ou les actions à entreprendre.
Plan de communication de crise
Document détaillant les messages clés, les canaux de communication et les porte-paroles désignés pour gérer la communication pendant une crise.
Plan directeur SI
Document stratégique qui définit la vision, les objectifs et les priorités de l'entreprise en matière de SI sur un horizon de 3 à 5 ans. Et Schéma directeur SI. Représentation graphique de l'architecture cible des SI, qui sert de feuille de route pour les projets de transformation.
Plan de gestion de crise
Document détaillant les procédures et les actions à entreprendre pour gérer une crise de cybersécurité de manière efficace.
Plan de réponse aux incidents
Ensemble de procédures pour détecter, analyser et répondre aux incidents de sécurité afin de minimiser leur impact.
Plan de rétablissement des services
Ensemble de procédures pour restaurer les services critiques après un incident de sécurité.
PRA (Plan de Reprise d'Activité)
Suite à un événement catastrophique (crise cyber....) au sein de l'entreprise, des mesures doivent être prises pour assurer la reprise des activités. Comme pour le PCA, la première étape consiste à réaliser une analyse des risques afin de planifier efficacement la continuité des opérations.
Profilage
En conformité avec le RGPD, le profilage englobe toute forme de traitement automatisé des données personnelles visant à évaluer divers aspects personnels d'une personne physique. Cela inclut l'analyse ou la prédiction de données relatives à la performance professionnelle, à la situation financière, à la santé, aux préférences personnelles, aux centres d'intérêt, à la fiabilité, au comportement, à la localisation ou aux déplacements de ladite personne.
Protocole OPC UA (Open Platform Communications Unified Architecture)
Protocole de communication utilisé pour l’interopérabilité des systèmes industriels et la transmission sécurisée des données.
Pentest (test d’intrusion, penetration testing)
Méthode d'évaluation de la sécurité des systèmes informatiques, consistant à simuler une attaque menée par un acteur malveillant. L'objectif est de détecter les failles exploitables afin de proposer un plan d'action adéquat.
Politique de confidentialité
Contrat décrivant comment une société retient, traite, publie et efface les données transmises par ses clients. Par exemple, un site web qui exige une inscription pour participer activement à ses forums devrait offrir une telle politique pour les données à caractères personnels qui lui sont confiées.
Privacy by design
Protection des données intégrée dès la conception des produits et services, et maintenue tout au long de leur existence.
Privacy Shield
Auto-certification UE-US sur la protection des données personnelles permettant le transfert de données personnelles issues des personnes localisées sur le territoire de l’UE vers les entreprises certifiées « Privacy Shield ».
Pseudonymisation
Anonymisation des données personnelles pour qu'elles ne puissent plus être directement associées à une personne spécifique sans avoir besoin de données complémentaires.
PSSI (Politique de Sécurité d'un Système d'Information)
Document stratégique qui définit les règles et les mesures à mettre en œuvre pour protéger les systèmes d'information d'une organisation.
PTES (Penetration Testing Execution Standard)
Un document de référence qui liste les étapes et les méthodes à suivre pour la réalisation d'un audit de sécurité. Il s'agit d'un standard pour notre cabinet proposant des tests d'intrusion.
Q
Quishing
Contraction de « QR code » et de « phishing ». Terme relativement nouveau dans le paysage des cybermenaces, qui combine les mots "QR code" et "phishing". Il s'agit d'une technique d'hameçonnage qui utilise les codes QR pour diriger les utilisateurs vers des sites web malveillants ou pour leur faire télécharger des logiciels nuisibles.
R
Rançongiciel (ransomware)
Type de logiciel malveillant qui prend en otage les données d'une victime en les chiffrant et en demandant le paiement d'une rançon pour en récupérer l'accès.
Rançongiciel en tant que service (RaaS, Ransomware-as-a-Service)
Modèle économique de la cybercriminalité qui a considérablement simplifié le lancement d'attaques par rançongiciel. Au lieu de développer leurs propres logiciels malveillants, les cybercriminels peuvent désormais les louer ou les acheter auprès de fournisseurs spécialisés.
RedTeam (équipe offensive)
Spécialisée dans le test d'intrusion et l'éthique du piratage informatique, cette équipe vise à identifier les vulnérabilités, évaluer la robustesse des défenses et mettre à l'épreuve les protocoles de gestion des incidents.
Registre des traitements de données à caractère personnel
Le RGPD impose à toute entreprise de consigner dans un registre l'ensemble des traitements de données personnelles qu'elle effectue. Ce registre doit inclure les informations suivantes : les coordonnées des responsables de traitement, des co-responsables, des sous-traitants et des destinataires impliqués dans le traitement ; les objectifs du traitement ; les catégories de personnes et de données personnelles concernées ; les transferts de données hors de l'UE ; une description des mesures de sécurité techniques et organisationnelles ; et, si possible, les délais prévus pour la suppression des différentes catégories de données.
Réglementation DORA (Digital Operational Resilience Act)
DORA est une réglementation européenne visant à renforcer la résilience opérationnelle numérique des entités financières. Elle impose des exigences strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC) pour assurer la continuité des services financiers en cas de perturbation.
Réglementation NIS 1/NIS 2
La directive NIS (Network and Information Security) est une législation européenne visant à assurer un niveau élevé de sécurité des réseaux et des systèmes d’information. NIS 2 (ou directive UE 2022/2555), une mise à jour de NIS 1, élargit le périmètre des entités concernées et renforce les exigences de sécurité pour mieux protéger les infrastructures critiques.
Responsable de traitement (Data Controller)
L'entité physique ou morale, l'instance publique, le service ou l'organisme responsable de définir les objectifs et les méthodes du traitement des données. En réalité, il s'agit généralement de l'entité morale représentée par son dirigeant légal.
Reverse Engineering
Cette technique consiste à décortiquer le fonctionnement d'un logiciel compilé sans accès à son code source. Cette approche permet de décrypter les mécanismes d'une menace pour mieux la contrer, ou d'analyser un logiciel légitime à la recherche de failles exploitables.
RGPD
Règlement général sur la protection des données. Officiellement appelé règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, est un règlement de l'union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'UE.
RSSI
Le rôle essentiel du RSSI est de définir la politique de sécurité du système d'information (protection des systèmes et réseaux, sécurité des applications, gestion des données, plan de continuité des activités, etc.) et de garantir sa mise en œuvre rigoureuse. Le RSSI peut remplir cette fonction en tant que salarié permanent ou en tant que consultant externe. C'est ce qu'on appelle un RSSI externalisé ou en transition.
Rootkit
Ensemble d’outils logiciels permettant à un attaquant de maintenir un accès non détecté à un système tout en dissimulant sa présence.
RTU (Remote Terminale Unit)
Terminal à Distance, Dispositif utilisé pour surveiller et contrôler les équipements à distance dans les systèmes SCADA
S
SAM (Security Account Manager)
Base de données locale qui conserve l'empreinte NTLM des mots de passe des utilisateurs locaux d'un système Windows. La base SAM est sauvegardée dans un fichier physique et intégrée au registre Windows. Pour accéder à ces données sensibles, des autorisations élevées sur le système sont indispensables.
Sandboxing
Technique de sécurité qui exécute des programmes ou des fichiers dans un environnement isolé pour les tester et détecter les comportements malveillants.
SCADA
(Supervisory Control and Data Acquisition) est un exemple parmi d'autres de système de contrôle industriel.
Schéma directeur SI
Représentation visuelle de l'architecture cible, déclinée par domaines fonctionnels (ex : ventes, production, RH). Il détaille les applications, les flux de données, les interfaces et les infrastructures. Il sert de base aux projets de transformation.
Sécurité des applications
Pratiques et technologies visant à protéger les applications contre les cyberattaques tout au long de leur cycle de vie.
Sécurité des Systèmes de Contrôle Industriel (ICS Security)
Ensemble de pratiques et de technologies utilisées pour protéger les systèmes de contrôle industriel contre les cybermenaces
Sécurité des terminaux (Endpoint Security)
Pratiques et technologies pour protéger les dispositifs finaux tels que les ordinateurs, les smartphones et les tablettes contre les
cybermenaces
SEO (Search Engine Optimization) poisoning
Méthode visant à accroître la visibilité d'une page ou d'un site web malveillant afin qu'ils se positionnent parmi les premiers résultats des moteurs de recherche.
Segmentation du réseau
Technique de sécurité qui divise un réseau en segments plus petits et isolés pour limiter les mouvements latéraux des attaquants.
Sextorsion
Extorsion, via internet, de faveurs (sexuelles ou financières) à la suite d’un chantage, notamment à la webcam. Les victimes sont souvent menacées de la diffusion de ces contenus si elles ne se soumettent pas aux exigences de l'escroc , qui peuvent être financières, sexuelles ou autres.
Signature Numérique
Technique qui utilise la cryptographie asymétrique pour garantir l’authenticité et l’intégrité d’un message ou d’un document. Elle implique de créer un hash du message, puis de chiffrer ce hash avec la clé privée de l’expéditeur.
Simulation de crise
Exercice pratique visant à tester la préparation et la capacité de réponse d’une organisation face à une crise de cybersécurité.
SIIV (Système d'Information d'Importance Vitale)
Désigne le système d'information d'une Organisation d'Importance Vitale, le SI (Système d'Information) d'un OIV est ainsi qualifié de SIIV. Des normes spécifiques établies par l’ANSSI s'appliquent aux SIIV en fonction du secteur d'activité de l'OIV concerné.
Smart contract
"Contrat intelligent" est un protocole informatique qui facilite, vérifie et exécute la négociation ou l'exécution d'un contrat. En d'autres termes, c'est un programme informatique auto-exécutable qui s'active automatiquement lorsque des conditions prédéfinies sont remplies.
SIS (Système Instrumenté de Sécurité)
Système conçu pour surveiller les conditions de fonctionnement et prendre des mesures correctives pour prévenir les accidents industriels.
Smishing
Mot issu de la contraction de « SMS » et de « phishing ». Il s’agit d’hameçonnage par SMS.
SMSI (Système de Management de la Sécurité de l'Information)
Il se compose d'un ensemble de directives et de stratégies visant à superviser la protection des données. Il privilégie une approche axée sur les processus et les individus plutôt que sur la technologie, garantissant ainsi la sécurité des informations de manière optimale.
SOC (Security Operation Center)
Il représente le centre opérationnel dédié à la surveillance et à la protection du système informatique d'une entreprise. Sa mission principale est d'assurer la gestion des incidents de sécurité et la surveillance des actifs de l'entreprise, afin de pouvoir réagir de manière proactive et efficace en cas d'attaques.
Sous-traitant (RGPD) (Data Processor)
Le sous-traitant, qu'il s'agisse d'une personne physique, morale, d'une autorité publique, d'un service ou d'un autre organisme, est chargé du traitement des données personnelles pour le compte du responsable du traitement.
Spoofing
Usurpation d’identité dans le but de gagner la confiance de la victime, permettant ainsi d'accéder à ses systèmes, de propager des logiciels malveillants, de voler ses données et de s'approprier des actifs numériques ou financiers.
SQLi (Injection SQL, Structured Query Language)
Permet à un site web ou à une application logicielle d'échanger des informations avec une base de données. Une attaque par injection SQL exploite les failles des applications pour interférer avec la base de données, permettant ainsi de contourner son fonctionnement normal et d'accéder de manière non autorisée aux données pour les lire ou les modifier.
SPF (Sender Policy Framework)
Protocole d’authentification des emails qui permet de vérifier que les emails proviennent de serveurs autorisés par le domaine de l’expéditeur.
SSL (Secure Socket Layer)
Régissant la sécurisation des échanges de données entre un ordinateur et un serveur, en particulier la protection cryptographique contre toute interception potentielle lors de leur transmission entre les deux parties. Ce concept est progressivement remplacé par l'évolution du protocole appelé TLS.
Système de traitement automatisé des données (STAD)
Ensemble d'outils informatiques physiques et applicatifs conçus pour collecter, stocker, traiter et diffuser des informations de manière automatisée. En d'autres termes, c'est tout système qui utilise des machines pour manipuler des données, sans intervention humaine directe pour chaque opération.
Système d’information, SI
Un système d'information (SI) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l'information. En d'autres termes, c'est un outil qui facilite la gestion de l'information au sein d'une organisation, qu'elle soit une entreprise, une administration ou une association.
SYSVOL (SYStem VOLume)
Un partage réseau disponible pour tous les utilisateurs d'un réseau Windows d'entreprise, servant de stockage pour les scripts et les GPO utilisés automatiquement par les systèmes Windows qui y ont accès.
T
Tabletop exercise
Simulation d’incident de sécurité réalisée en salle pour tester les plans de gestion de crise et améliorer la préparation.
Traçabilité
Capacité à retracer les actions effectuées sur les systèmes d’information pour assurer la responsabilité et la transparence.
Typosquatting
Technique où des attaquants enregistrent des noms de domaine similaires à ceux de sites légitimes pour tromper les utilisateurs et voler des informations.
TLS (Transport Layer Security)
Cette évolution du protocole SSL a pris le nom de TLS pour marquer les différences structurelles avec son prédécesseur et les avancées en termes de sécurité qu'il offre. Plusieurs versions de ce protocole sont disponibles, la plus récente étant la version 1.3.
Traitement de données à caractère personnel
Tout acte ou série d'actions impliquant des données personnelles, peu importe la méthode utilisée (par exemple : accès, collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou suppression, …).
Transfert de données (RGPD)
Toute transmission, reproduction ou déplacement de données personnelles destinées à être traitées dans un pays extérieur à l'Union européenne constitue un transfert. Même un simple accès à des données stockées en France à partir d'un appareil en Chine est considéré comme tel. En dehors du territoire de l'UE, les transferts sont généralement interdits, sauf exceptions prévues.
U
Urbanisation des SI
Approche qui vise à organiser les SI de manière cohérente et évolutive, en définissant des standards, des modèles et des règles de construction.
V
Violation de données
Infraction à la sécurité entrainant, de manière accidentelle ou frauduleuse, la destruction, la perte, la modification, la divulgation non autorisée de données personnelles transmises, conservées ou traitées différemment, ou l'accès non autorisé à de telles informations.
VPN
(Virtual Private Network) permet de créer une connexion sécurisée sur des réseaux publics, chiffrant ainsi votre trafic Internet et masquant votre identité en ligne. Cela rend plus compliqué pour les tiers de surveiller vos activités en ligne et de voler vos données personnelles. Le processus de chiffrement se déroule en temps réel, assurant ainsi une protection constante de vos informations confidentielles.
W
Wallet
En cryptomonnaies, le terme wallet (portefeuille en français) désigne un outil numérique permettant de stocker, envoyer et recevoir des cryptomonnaies. Il fonctionne un peu comme un compte bancaire, mais avec des caractéristiques bien spécifiques liées à la nature décentralisée des cryptomonnaies.
WAF (Web Application Firewall)
Outil spécialement conçu pour être positionné en amont d'un serveur web, avec pour objectif de contrer les attaques de base telles que les injections SQL ou les failles XSS. Les WAF sont connus pour leur délicatesse lors de la mise en place en raison des faux positifs qu'ils peuvent générer, et de leur efficacité relative. Ainsi, il est recommandé de les utiliser en dernier recours lorsque la sécurité de l'application vulnérable ne peut être garantie dans des délais acceptables.
WAN (Wide Area Network)
Réseau étendu, connectant toutes les ressources d'une entreprise à travers différentes villes, régions ou pays. Internet est souvent considéré comme le plus vaste des WAN.
Whitebox (boîte blanche)
Audit de pentest où les auditeurs ont accès à toutes les informations techniques concernant le système examiné : plan d'infrastructure, contacts techniques, etc.et permet de voir ce qu’un utilisateur interne peut faire comme action non autorisée sur le SI.
X
XSS (Cross-Site Scripting)
Faille de sécurité courante sur les applications web permettant à un pirate informatique d'exécuter du code Javascript sur le navigateur d'un utilisateur sans que ce dernier s'en rende compte. Cette vulnérabilité est exploitée en profitant d'une mauvaise filtration des données saisies et/ou d'un défaut d'encodage des données affichées.
Z
Zero Trust
Le modèle de sécurité Zero Trust repose sur le principe de “ne jamais faire confiance, toujours vérifier”. Il considère que toutes les tentatives d’accès, qu’elles proviennent de l’intérieur ou de l’extérieur du réseau, doivent être authentifiées et autorisées avant d’accéder aux ressources.
Zero-Day
Vulnérabilité inconnue des développeurs du logiciel et non corrigée, exploitée par les attaquants avant qu’un correctif ne soit disponible.
