Glossaire

ABCDEFGHIJKLMNOPQRSTUVWXYZ
A
Authentification
Procédé cryptographique qui consiste à vérifier l’identité d’une personne, d’un serveur ou d’une machine afin d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux, applications…).
Accountability
Désigne l’obligation pour les entreprises ou les organisations de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Analyse de risque

Une analyse des risques est utilisée comme première étape d’un processus d’évaluation des risques. Le résultat d’une analyse des dangers est l’identification de différents types de dangers. Un danger est une condition potentielle et existe ou non.

Anticipation risque

Il désigne la possibilité de survenance d’incidents ou d’accidents générés par l’activité d’une entreprise pouvant avoir des répercussions nuisibles et significatives sur l’environnement.

Agiles

Les méthodes agiles mettent en avant la collaboration entre des équipes auto-organisées et pluridisciplinaires et leurs clients. Elles s’appuient sur l’utilisation d’un cadre méthodologique léger mais suffisant centré sur l’humain et la communication.

Analyse de risque cyber

L’analyse de risque cyber, couvre la partie des risques liés aux activités nécessitant un système d’information (SI). C’est une démarche qui aide à aider l’entreprise à piloter ses projets de sécurité en évaluant les risques réels liées au SI.

ANSSI
Agence Nationale de la Sécurité des Systèmes d’Information créée en Juillet 2009. Ses missions principales sont :
  • Détecter et réagir aux cyber-attaques,
  • Prévenir les menaces en soutenant le développement de produits et services éprouvés pour les entités gouvernementales et les acteurs économiques
  • Fournir des conseils fiables et un soutien aux entités gouvernementales et des opérateurs des infrastructures critiques
  • Garder les entreprises et le grand public informés des menaces à la sécurité de l’information et les moyens connexes de la protection à travers une politique active de communication.
B
Backdoor
En français « porte dérobée ». Accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.
Blockchain 
Technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle. Elle constitue une base de données qui contient l’historique de tous les échanges effectués entre ses utilisateurs …
C
Cyberespace
Espace constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment internet, et par les données qui y sont traitées.
Certification
Procédure par laquelle un organisme d’évaluation externe (appelé également tiers certificateur) va donner l’assurance écrite qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel.
Cybercrime

Un cybercrime est une « infraction pénale susceptible de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau ». 

Cartographie des risques

La cartographie des risques permet d’analyser et interroger les risques dans leurs caractéristiques spatiales. Elle intervient à plusieurs échelles et peut représenter soit la répartition spatiale des aléas, soit celle des enjeux, soit celle des vulnérabilités, soit une combinaison des trois facteurs.

Cybersécurité
État recherché pour un système d’information lui permettant de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
Cloud

Le cloud computing, en français l’informatique en nuage, correspond à l’accès à des services informatiques via Internet à partir d’un fournisseur. Les principaux services proposés en cloud computing sont le SaaS, le PaaS et le IaaS ou le MBaaS.

Collaboratif

Destiné à un travail en commun, sur le web.

Cyberattaque
Acte de piratage informatique sur Internet.
Collective

Qui comprend ou concerne un ensemble de personnes.

Confiance
Espérance ferme, assurance d’une personne qui se fie à qqn ou à qqch.
Calculateur quantique

Un calculateur quantique, utilise les propriétés quantiques de la matière, telle que la superposition et l’intrication afin d’effectuer des opérations sur des données.

Cyber Résilience
La cyber-résilience fait référence à la capacité d’une entité à fournir en permanence le résultat escompté, malgré les cyber-événements indésirables. La cyber-résilience est une perspective en évolution qui gagne rapidement en reconnaissance.
Cloud de confiance

Le Cloud de confiance se définit comme l’ensemble des ressources d’un Cloud hybride, gérées par une plate-forme garantissant le respect des réglementations internes, locales et industrielles.

Confidentialité

Maintien du secret d’informations (dans une administration, un système informatisé).

Cyberdéfense
Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’informations jugés essentiels.
D
DPO
Délégué à la protection des données. Chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisation qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cette organisation.
Donnée personnelle
Toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Design Thinking

Le design thinking, synthèse entre la pensée analytique et la pensée intuitive se veut repenser la façon traditionnelle d’aborder les projets d’innovation, en appliquant la même démarche que celle qu’aurait un designer.

E
EBIOS
Expression des Besoins et Identification des Objectifs de Sécurité. Méthode complète de gestion des risques SSI conforme au RGS et aux normes ISO 27001, 27005 et 31000. Offre la possibilité d’élaborer et d’assurer le suivi d’un plan d’actions relevant de la sécurité des systèmes d’information.
Ebios Risk Manager
Découle de la méthode d’analyse de risque française de référence, EBIOS, qui permet aux organisations de réaliser une appréciation et un traitement des risques. La méthode EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.
Ethique

Ensemble des conceptions morales.

Edge computing

L’edge computing est une méthode d’optimisation employée dans le cloud computing qui consiste à traiter les données à la périphérie du réseau, près de la source des données.

F
Framework NIST
Le National Institute of Standards and Technology (NIST), est une agence appartenant au Département du Commerce des États-Unis ayant pour objet le développement de méthodologies et de standards. Cette organisation a conçu le NIST Cybersecurity Framework, qui représente un cadre volontaire visant à assister les organisations dans la gestion des cyber-risques. Il s’articule autour des normes de cybersécurité existantes pour mettre en avant des bonnes pratiques.
H
HDS
Hébergeur de Données de Santé. Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues.
Hameçonnage

Technique de fraude sur Internet visant à obtenir des renseignements confidentiels (mot de passe, informations bancaires…) afin d’usurper l’identité de la victime.

I
ISO
International Organization for Standardization. Par ses membres, l’Organisation réunit des experts qui mettent en commun leurs connaissances pour élaborer des Normes internationales d’application volontaire, fondées sur le consensus, pertinentes pour le marché, soutenant l’innovation et apportant des solutions aux enjeux mondiaux.
  • ISO 27001
Certification qui permet aux entreprises et aux administrations d’attester de la mise en place effective d’un système de management de la sécurité de l’information.
  • ISO 27002
Donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information.
  • ISO 27005
Contient des lignes directrices relatives à la gestion des risques en sécurité de l’information. Elle vient en appui des concepts généraux énoncés dans l’ISO 27001.
  • ISO 21434
Norme qui fournit des lignes directrices en matière d’ingénierie de la cybersécurité pour tous les processus des différentes phases du cycle de vie d’un véhicule.
Innovation

L’innovation est la recherche constante d’améliorations de l’existant, par contraste avec l’invention, qui vise à créer du nouveau.

Intelligence artificielle 

L’intelligence artificielle est « l’ensemble des théories et des techniques mises en œuvre en vue de réaliser des machines capables de simuler l’intelligence ». Elle correspond donc à un ensemble de concepts et de technologies plus qu’à une discipline autonome constituée.

Incident sécurité

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.

Incident cyber

Tentative non autorisée, réussie ou non, visant à accéder à un réseau ou à un système informatique ou visant à le modifier, à le détruire, à le supprimer ou à le rendre non disponible.

IaaS

L’infrastructure as a service ou infrastructure en tant que service est un modèle de cloud computing destiné aux entreprises où : l’entreprise gère le Middleware des serveurs, et surtout les logiciels applicatifs ; le fournisseur cloud gère le matériel serveur, les couches de virtualisation, le stockage, les réseaux. 

L
LPM
La Loi de Programmation Militaire (LPM) fixe sur un horizon de plusieurs années les priorités opérationnelles, les choix majeurs en matière d’équipements, ou d’effectifs. Elle traduit dans la durée l’engagement de la Nation en faveur de sa défense.
M
Méthode ebios

Expression des Besoins et Identification des Objectifs de Sécurité, est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. … Elle permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI).

MBaaS

Le backend mobile en tant que service, également connu sous le nom de « backend as a service », est un modèle permettant aux développeurs d’applications web et mobiles de lier leurs applications au stockage

N
NIS
La Directive Network and Information System Security (NIS) vise à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Elle a été adoptée par les institutions européennes le 6 juillet 2016.
O
OIV
Opérateur d’importance vitale (OIV). Personne morale publique ou privée qui gère ou utilise des établissements ou des ouvrages dont la destruction ou même l’indisponibilité limiteraient gravement le potentiel militaire, la force économique, la sécurité, voire la capacité de survie d’un État, ou mettraient en danger sa population.
P
Politique de sécurité
Ensemble de lois, règles et pratiques régissant les moyens utilisés par une organisation pour gérer, protéger et distribuer des informations sensibles.
PCI DSS
Norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard (PCI DSS)) qui s’applique aux différents acteurs de la chaîne monétique.
PaaS

Platform as a service, ou Plate-forme en tant que service, est l’un des types de cloud computing, principalement destiné aux développeurs ou aux entreprises de développement, où : l’entité cliente maintient les applications proprement dites 

R
RGS
Référentiel Général de Sécurité. Ensemble des règles établies par l’ANSSI et prévues par l’ordonnance no 2005-1516 du 8 décembre 2005 « relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives » que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialité ou encore l’horodatage.
Résilience
Volonté et capacité d’un pays, de la société et des pouvoirs publics à résister aux conséquences d’une agression ou d’une catastrophe majeure puis à rétablir leur capacité de fonctionner normalement, ou à tout le moins dans un mode acceptable. Elle concerne non seulement les pouvoirs publics, mais également les acteurs économiques et la société civile tout entière.
Rançongiciel
Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon.  
Risque Cyber

Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminialité, l’atteinte à l’image, l’espionnage, le sabotage.

RGPD

Règlement général sur la protection des données, est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

S
Souveraineté numérique
La souveraineté numérique désigne l’application des principes de souveraineté au domaine des technologies de l’information et de la communication, c’est-à-dire à l’informatique et aux télécommunications.
SaaS

Le software as a service ou logiciel en tant que service, est un modèle d’exploitation commerciale des logiciels dans lequel ceux-ci sont installés sur des serveurs distants plutôt que sur la machine de l’utilisateur.

T
Traitement de données personnelles
Opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, …).
Tableau de bord de risque cyber

Le tableau de bord des risques est le miroir du tableau de bord d’implémentation de la stratégie. Pour chaque objectif stratégique est associé des mesures de performance et un plan d’action. Est également associé un tableau de bord des risques permettant de piloter les risques pouvant impacter la mise en œuvre de la stratégie.

V
Vulnérabilité

Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser.

Vigilance

Surveillance attentive, sans défaillance.

W
Whitenet
Ce contexte nouveau favorise l’émergence d’un réseau global sécurisé de cyberdéfense. La principale caractéristique de ce scénario est l’apparition d’une coopération constante et soutenue entre les Etats et les entreprises afin de lutter contre la cybercriminalité. Le WhiteNet offre un socle pour le développement de nouveaux business model. Le risque de cyber catastrophe est faible mais la menace ne disparaît pas pour autant. Le danger est surtout d’ordre géopolitique, en particulier dans la relation avec les Etats qui ne coopèrent pas pleinement dans le WhiteNet.