A
Accountability

Désigne l’obligation pour les entreprises ou les organisations de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Agile

Agile methods emphasise collaboration between self-organising, multidisciplinary teams and their clients. They are based on a lightweight but sufficient methodological framework focused on human interaction and communication.

Agiles

Les méthodes agiles mettent en avant la collaboration entre des équipes auto-organisées et pluridisciplinaires et leurs clients. Elles s'appuient sur l'utilisation d'un cadre méthodologique léger mais suffisant centré sur l'humain et la communication.

Analyse de risque

Une analyse des risques est utilisée comme première étape d'un processus d'évaluation des risques. Le résultat d’une analyse des dangers est l’identification de différents types de dangers. Un danger est une condition potentielle et existe ou non.

Analyse de risque cyber

L'analyse de risque cyber, couvre la partie des risques liés aux activités nécessitant un système d'information (SI). C'est une démarche qui aide à aider l'entreprise à piloter ses projets de sécurité en évaluant les risques réels liées au SI.

ANSSI

Agence Nationale de la Sécurité des Systèmes d’Information créée en Juillet 2009. Ses missions principales sont :

  • Détecter et réagir aux cyber-attaques,
  • Prévenir les menaces en soutenant le développement de produits et services éprouvés pour les entités gouvernementales et les acteurs économiques
  • Fournir des conseils fiables et un soutien aux entités gouvernementales et des opérateurs des infrastructures critiques
  • Garder les entreprises et le grand public informés des menaces à la sécurité de l’information et les moyens connexes de la protection à travers une politique active de communication.

Anticipation risque

Il désigne la possibilité de survenance d'incidents ou d'accidents générés par l'activité d'une entreprise pouvant avoir des répercussions nuisibles et significatives sur l'environnement.

Artificial intelligence 

Artificial intelligence is a set of theories and techniques applied in order to create machines capable of simulating intelligence. It is more a set of concepts and technologies than a concrete, independent discipline.

Authentification

Procédé cryptographique qui consiste à vérifier l’identité d’une personne, d’un serveur ou d’une machine afin d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux, applications…).

B
Backdoor

En français « porte dérobée ». Accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.

Blockchain 

Technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle. Elle constitue une base de données qui contient l’historique de tous les échanges effectués entre ses utilisateurs ...

C
Calculateur quantique

Un calculateur quantique, utilise les propriétés quantiques de la matière, telle que la superposition et l'intrication afin d'effectuer des opérations sur des données.

Cartographie des risques

La cartographie des risques permet d'analyser et interroger les risques dans leurs caractéristiques spatiales. Elle intervient à plusieurs échelles et peut représenter soit la répartition spatiale des aléas, soit celle des enjeux, soit celle des vulnérabilités, soit une combinaison des trois facteurs.

Certification

Procédure par laquelle un organisme d’évaluation externe (appelé également tiers certificateur) va donner l’assurance écrite qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel.

Cloud

Le cloud computing, en français l'informatique en nuage, correspond à l’accès à des services informatiques via Internet à partir d’un fournisseur. Les principaux services proposés en cloud computing sont le SaaS, le PaaS et le IaaS ou le MBaaS.

Cloud de confiance

Le Cloud de confiance se définit comme l'ensemble des ressources d'un Cloud hybride, gérées par une plate-forme garantissant le respect des réglementations internes, locales et industrielles.

Collaboratif

Destiné à un travail en commun, sur le web.

Collaborative

Used to describe shared work carried out over the web.

Collective

Qui comprend ou concerne un ensemble de personnes.

Confiance

Espérance ferme, assurance d'une personne qui se fie à qqn ou à qqch.

Confidentialité

Maintien du secret d'informations (dans une administration, un système informatisé).

Confidentiality

Keeping information secret (within an administration or computerised system, for example).

Cyber defence

All the IT resources used to ensure the defence of a country.

Cyber incident

Unauthorised attempt, successful or unsuccessful, to access, modify, destroy or suppress a network or computer system or make it unavailable.

Cyber Résilience

La cyber-résilience fait référence à la capacité d'une entité à fournir en permanence le résultat escompté, malgré les cyber-événements indésirables. La cyber-résilience est une perspective en évolution qui gagne rapidement en reconnaissance.

Cyber risk

A cyberattack is a malicious attack on a computer system. Its targets may include computers or servers, isolated or networked, connected to the internet or not, peripherals such as printers or connected devices such as mobile phones, smartphones and tablets. There are four types of cyber risk, with a variety of consequences affecting individuals, governments and companies directly or indirectly: cybercrime, reputational damage, espionage and sabotage.

Cyber risk analysis

Cyber risk analysis covers the area of risk associated with activities that require an IT system. It is an approach that helps the company manage its security projects by evaluating the real risks associated with the IT system.

Cyber risk dashboard

The risk dashboard mirrors the strategy implementation dashboard. Each strategic objective is associated with performance measurements and an action plan. In the same way, the risk dashboard is used to manage the risks that could affect the implementation of the strategy.

Cyberattack

Attack against an IT system over the internet.

Cyberattaque

Acte de piratage informatique sur Internet.

Cybercrime

Un cybercrime est une « infraction pénale susceptible de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau ». 

Cyberdéfense

Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’informations jugés essentiels.

Cyberespace

Espace constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment internet, et par les données qui y sont traitées.

Cybersécurité

État recherché pour un système d’information lui permettant de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.

Cybersecurity

All the methods and resources used to ensure the security of the information and IT systems of a state, company etc.

D
Design Thinking

Le design thinking, synthèse entre la pensée analytique et la pensée intuitive se veut repenser la façon traditionnelle d’aborder les projets d’innovation, en appliquant la même démarche que celle qu’aurait un designer.

Digital sovereignty

Digital sovereignty refers to the application of sovereignty principles to the field of information and communication technology, i.e. IT and telecommunications.

Donnée personnelle

Toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

DPO

Délégué à la protection des données. Chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisation qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cette organisation.

E
EBIOS

Expression des Besoins et Identification des Objectifs de Sécurité. Méthode complète de gestion des risques SSI conforme au RGS et aux normes ISO 27001, 27005 et 31000. Offre la possibilité d’élaborer et d’assurer le suivi d’un plan d’actions relevant de la sécurité des systèmes d’information.

EBIOS method

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité – expression of needs and identification of security objectives) is a complete tool for managing IT security risks in accordance with France's RGS security framework and the most recent ISO 27001, 27005 and 31000 standards. It is used to evaluate and manage risks relating to IT system security.

Ebios Risk Manager

Découle de la méthode d’analyse de risque française de référence, EBIOS, qui permet aux organisations de réaliser une appréciation et un traitement des risques. La méthode EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.

Edge computing

L'edge computing est une méthode d'optimisation employée dans le cloud computing qui consiste à traiter les données à la périphérie du réseau, près de la source des données.

Ethics

Set of moral concepts.

Ethique

Ensemble des conceptions morales.

F
Framework NIST

Le National Institute of Standards and Technology (NIST), est une agence appartenant au Département du Commerce des États-Unis ayant pour objet le développement de méthodologies et de standards. Cette organisation a conçu le NIST Cybersecurity Framework, qui représente un cadre volontaire visant à assister les organisations dans la gestion des cyber-risques. Il s’articule autour des normes de cybersécurité existantes pour mettre en avant des bonnes pratiques.

G
GDPR

The General Data Protection Regulation is a European Union regulation that constitutes the standard text in terms of personal data protection. It strengthens and unifies data protection for private individuals within the European Union.

H
Hameçonnage

Technique de fraude sur Internet visant à obtenir des renseignements confidentiels (mot de passe, informations bancaires…) afin d'usurper l'identité de la victime.

HDS

Hébergeur de Données de Santé. Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues.

I
IaaS

L'infrastructure as a service ou infrastructure en tant que service est un modèle de cloud computing destiné aux entreprises où : l'entreprise gère le Middleware des serveurs, et surtout les logiciels applicatifs ; le fournisseur cloud gère le matériel serveur, les couches de virtualisation, le stockage, les réseaux. 

Incident cyber

Tentative non autorisée, réussie ou non, visant à accéder à un réseau ou à un système informatique ou visant à le modifier, à le détruire, à le supprimer ou à le rendre non disponible.

Incident sécurité

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.

Innovation

L'innovation est la recherche constante d'améliorations de l'existant, par contraste avec l'invention, qui vise à créer du nouveau.

Intelligence artificielle 

L'intelligence artificielle est « l'ensemble des théories et des techniques mises en œuvre en vue de réaliser des machines capables de simuler l'intelligence ». Elle correspond donc à un ensemble de concepts et de technologies plus qu'à une discipline autonome constituée.

ISO

International Organization for Standardization. Par ses membres, l’Organisation réunit des experts qui mettent en commun leurs connaissances pour élaborer des Normes internationales d’application volontaire, fondées sur le consensus, pertinentes pour le marché, soutenant l’innovation et apportant des solutions aux enjeux mondiaux.

  • ISO 27001
Certification qui permet aux entreprises et aux administrations d’attester de la mise en place effective d’un système de management de la sécurité de l’information.
  • ISO 27002
Donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information.
  • ISO 27005
Contient des lignes directrices relatives à la gestion des risques en sécurité de l'information. Elle vient en appui des concepts généraux énoncés dans l'ISO 27001.
  • ISO 21434
Norme qui fournit des lignes directrices en matière d’ingénierie de la cybersécurité pour tous les processus des différentes phases du cycle de vie d’un véhicule.

L
LPM

La Loi de Programmation Militaire (LPM) fixe sur un horizon de plusieurs années les priorités opérationnelles, les choix majeurs en matière d’équipements, ou d’effectifs. Elle traduit dans la durée l’engagement de la Nation en faveur de sa défense.

M
MBaaS

Le backend mobile en tant que service, également connu sous le nom de "backend as a service", est un modèle permettant aux développeurs d'applications web et mobiles de lier leurs applications au stockage

Méthode ebios

Expression des Besoins et Identification des Objectifs de Sécurité, est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. ... Elle permet d'apprécier et de traiter les risques relatifs à la sécurité des systèmes d'information (SSI).

N
NIS

La Directive Network and Information System Security (NIS) vise à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Elle a été adoptée par les institutions européennes le 6 juillet 2016.

O
OIV

Opérateur d’importance vitale (OIV). Personne morale publique ou privée qui gère ou utilise des établissements ou des ouvrages dont la destruction ou même l’indisponibilité limiteraient gravement le potentiel militaire, la force économique, la sécurité, voire la capacité de survie d’un État, ou mettraient en danger sa population.

P
PaaS

Platform as a service, ou Plate-forme en tant que service, est l'un des types de cloud computing, principalement destiné aux développeurs ou aux entreprises de développement, où : l'entité cliente maintient les applications proprement dites 

PCI DSS

Norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard (PCI DSS)) qui s'applique aux différents acteurs de la chaîne monétique.

Phishing

Internet fraud technique that aims to obtain confidential information (passwords, bank information etc.) in order to steal the victim's identity.

Politique de sécurité

Ensemble de lois, règles et pratiques régissant les moyens utilisés par une organisation pour gérer, protéger et distribuer des informations sensibles.

Q
Quantum computer

A quantum computer uses the quantum properties of matter such as superimposition and entanglement to perform operations on data.

R
Rançongiciel

Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon.  

Ransomware

Ransomware is malicious software that takes personal data hostage.

Résilience

Volonté et capacité d’un pays, de la société et des pouvoirs publics à résister aux conséquences d’une agression ou d’une catastrophe majeure puis à rétablir leur capacité de fonctionner normalement, ou à tout le moins dans un mode acceptable. Elle concerne non seulement les pouvoirs publics, mais également les acteurs économiques et la société civile tout entière.

RGPD

Règlement général sur la protection des données, est un règlement de l'Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne.

RGS

Référentiel Général de Sécurité. Ensemble des règles établies par l’ANSSI et prévues par l’ordonnance no 2005-1516 du 8 décembre 2005 « relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives » que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialité ou encore l’horodatage.

Risk analysis

A risk analysis is the first stage in a risk evaluation process. The result of a risk analysis is a list identifying different types of dangers. A danger is a potential condition, which may or may not exist.

Risk anticipation

This refers to the possibility of incidents or accidents occurring as a result of a company's activities that could have significant harmful effects on the environment.

Risk Management

The job of deciding what possible financial risks are involved in a planned activity and how best to avoid or deal with them.

Risk mapping

Risk mapping is a way of analysing and interrogating risks via their spatial characteristics. It operates at a number of levels and can represent the spatial distribution of risks, priorities, vulnerabilities or a combination of these three factors.

Risque Cyber

Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminialité, l’atteinte à l’image, l’espionnage, le sabotage.

S
SaaS

Le software as a service ou logiciel en tant que service, est un modèle d'exploitation commerciale des logiciels dans lequel ceux-ci sont installés sur des serveurs distants plutôt que sur la machine de l'utilisateur.

Security incident

A security incident is an event that compromises a system's availability, confidentiality or integrity. Examples: illegal use of a password, theft of computer equipment, intrusion into a file or application etc.

Software

The instructions that control what a computer does; computer programs.

Souveraineté numérique

La souveraineté numérique désigne l'application des principes de souveraineté au domaine des technologies de l'information et de la communication, c'est-à-dire à l'informatique et aux télécommunications.

T
Tableau de bord de risque cyber

Le tableau de bord des risques est le miroir du tableau de bord d’implémentation de la stratégie. Pour chaque objectif stratégique est associé des mesures de performance et un plan d’action. Est également associé un tableau de bord des risques permettant de piloter les risques pouvant impacter la mise en œuvre de la stratégie.

Traitement de données personnelles

Opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, ...).

Trust

Firm belief and assurance in someone or something.

Trusted cloud

A trusted cloud is defined as all the resources of a hybrid cloud managed by a platform that guarantees compliance with all internal, local and industrial regulations.

V
Vigilance

Surveillance attentive, sans défaillance.

Vulnérabilité

Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser.

W
Whitenet

Ce contexte nouveau favorise l’émergence d’un réseau global sécurisé de cyberdéfense. La principale caractéristique de ce scénario est l’apparition d’une coopération constante et soutenue entre les Etats et les entreprises afin de lutter contre la cybercriminalité. Le WhiteNet offre un socle pour le développement de nouveaux business model. Le risque de cyber catastrophe est faible mais la menace ne disparaît pas pour autant. Le danger est surtout d’ordre géopolitique, en particulier dans la relation avec les Etats qui ne coopèrent pas pleinement dans le WhiteNet.