Désigne l’obligation pour les entreprises ou les organisations de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
Les méthodes agiles mettent en avant la collaboration entre des équipes auto-organisées et pluridisciplinaires et leurs clients. Elles s’appuient sur l’utilisation d’un cadre méthodologique léger mais suffisant centré sur l’humain et la communication.
Une analyse des risques est utilisée comme première étape d’un processus d’évaluation des risques. Le résultat d’une analyse des dangers est l’identification de différents types de dangers. Un danger est une condition potentielle et existe ou non.
L’analyse de risque cyber, couvre la partie des risques liés aux activités nécessitant un système d’information (SI). C’est une démarche qui aide à aider l’entreprise à piloter ses projets de sécurité en évaluant les risques réels liées au SI.
Agence Nationale de la Sécurité des Systèmes d’Information créée en Juillet 2009. Ses missions principales sont :
Il désigne la possibilité de survenance d’incidents ou d’accidents générés par l’activité d’une entreprise pouvant avoir des répercussions nuisibles et significatives sur l’environnement.
Procédé cryptographique qui consiste à vérifier l’identité d’une personne, d’un serveur ou d’une machine afin d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux, applications…).
En français « porte dérobée ». Accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.
Technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle. Elle constitue une base de données qui contient l’historique de tous les échanges effectués entre ses utilisateurs …
Un calculateur quantique, utilise les propriétés quantiques de la matière, telle que la superposition et l’intrication afin d’effectuer des opérations sur des données.
La cartographie des risques permet d’analyser et interroger les risques dans leurs caractéristiques spatiales. Elle intervient à plusieurs échelles et peut représenter soit la répartition spatiale des aléas, soit celle des enjeux, soit celle des vulnérabilités, soit une combinaison des trois facteurs.
Procédure par laquelle un organisme d’évaluation externe (appelé également tiers certificateur) va donner l’assurance écrite qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel.
Le cloud computing, en français l’informatique en nuage, correspond à l’accès à des services informatiques via Internet à partir d’un fournisseur. Les principaux services proposés en cloud computing sont le SaaS, le PaaS et le IaaS ou le MBaaS.
Le Cloud de confiance se définit comme l’ensemble des ressources d’un Cloud hybride, gérées par une plate-forme garantissant le respect des réglementations internes, locales et industrielles.
Destiné à un travail en commun, sur le web.
Qui comprend ou concerne un ensemble de personnes.
Espérance ferme, assurance d’une personne qui se fie à qqn ou à qqch.
Maintien du secret d’informations (dans une administration, un système informatisé).
La cyber-résilience fait référence à la capacité d’une entité à fournir en permanence le résultat escompté, malgré les cyber-événements indésirables. La cyber-résilience est une perspective en évolution qui gagne rapidement en reconnaissance.
Acte de piratage informatique sur Internet.
Un cybercrime est une « infraction pénale susceptible de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau ».
Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’informations jugés essentiels.
Espace constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment internet, et par les données qui y sont traitées.
État recherché pour un système d’information lui permettant de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.
Le design thinking, synthèse entre la pensée analytique et la pensée intuitive se veut repenser la façon traditionnelle d’aborder les projets d’innovation, en appliquant la même démarche que celle qu’aurait un designer.
Toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
Délégué à la protection des données. Chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisation qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cette organisation.
Expression des Besoins et Identification des Objectifs de Sécurité. Méthode complète de gestion des risques SSI conforme au RGS et aux normes ISO 27001, 27005 et 31000. Offre la possibilité d’élaborer et d’assurer le suivi d’un plan d’actions relevant de la sécurité des systèmes d’information.
Découle de la méthode d’analyse de risque française de référence, EBIOS, qui permet aux organisations de réaliser une appréciation et un traitement des risques. La méthode EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.
L’edge computing est une méthode d’optimisation employée dans le cloud computing qui consiste à traiter les données à la périphérie du réseau, près de la source des données.
Ensemble des conceptions morales.
Le National Institute of Standards and Technology (NIST), est une agence appartenant au Département du Commerce des États-Unis ayant pour objet le développement de méthodologies et de standards. Cette organisation a conçu le NIST Cybersecurity Framework, qui représente un cadre volontaire visant à assister les organisations dans la gestion des cyber-risques. Il s’articule autour des normes de cybersécurité existantes pour mettre en avant des bonnes pratiques.
Technique de fraude sur Internet visant à obtenir des renseignements confidentiels (mot de passe, informations bancaires…) afin d’usurper l’identité de la victime.
Hébergeur de Données de Santé. Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues.
L’infrastructure as a service ou infrastructure en tant que service est un modèle de cloud computing destiné aux entreprises où : l’entreprise gère le Middleware des serveurs, et surtout les logiciels applicatifs ; le fournisseur cloud gère le matériel serveur, les couches de virtualisation, le stockage, les réseaux.
Tentative non autorisée, réussie ou non, visant à accéder à un réseau ou à un système informatique ou visant à le modifier, à le détruire, à le supprimer ou à le rendre non disponible.
Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.
L’innovation est la recherche constante d’améliorations de l’existant, par contraste avec l’invention, qui vise à créer du nouveau.
L’intelligence artificielle est « l’ensemble des théories et des techniques mises en œuvre en vue de réaliser des machines capables de simuler l’intelligence ». Elle correspond donc à un ensemble de concepts et de technologies plus qu’à une discipline autonome constituée.
International Organization for Standardization. Par ses membres, l’Organisation réunit des experts qui mettent en commun leurs connaissances pour élaborer des Normes internationales d’application volontaire, fondées sur le consensus, pertinentes pour le marché, soutenant l’innovation et apportant des solutions aux enjeux mondiaux.
La Loi de Programmation Militaire (LPM) fixe sur un horizon de plusieurs années les priorités opérationnelles, les choix majeurs en matière d’équipements, ou d’effectifs. Elle traduit dans la durée l’engagement de la Nation en faveur de sa défense.
Le backend mobile en tant que service, également connu sous le nom de « backend as a service », est un modèle permettant aux développeurs d’applications web et mobiles de lier leurs applications au stockage
Expression des Besoins et Identification des Objectifs de Sécurité, est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. … Elle permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI).
La Directive Network and Information System Security (NIS) vise à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Elle a été adoptée par les institutions européennes le 6 juillet 2016.
Opérateur d’importance vitale (OIV). Personne morale publique ou privée qui gère ou utilise des établissements ou des ouvrages dont la destruction ou même l’indisponibilité limiteraient gravement le potentiel militaire, la force économique, la sécurité, voire la capacité de survie d’un État, ou mettraient en danger sa population.
Platform as a service, ou Plate-forme en tant que service, est l’un des types de cloud computing, principalement destiné aux développeurs ou aux entreprises de développement, où : l’entité cliente maintient les applications proprement dites
Norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard (PCI DSS)) qui s’applique aux différents acteurs de la chaîne monétique.
Ensemble de lois, règles et pratiques régissant les moyens utilisés par une organisation pour gérer, protéger et distribuer des informations sensibles.
Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon.
Volonté et capacité d’un pays, de la société et des pouvoirs publics à résister aux conséquences d’une agression ou d’une catastrophe majeure puis à rétablir leur capacité de fonctionner normalement, ou à tout le moins dans un mode acceptable. Elle concerne non seulement les pouvoirs publics, mais également les acteurs économiques et la société civile tout entière.
Règlement général sur la protection des données, est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.
Référentiel Général de Sécurité. Ensemble des règles établies par l’ANSSI et prévues par l’ordonnance no 2005-1516 du 8 décembre 2005 « relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives » que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialité ou encore l’horodatage.
La gestion des risques, ou l’anglicisme, management du risque (de l’anglais : risk management), est la discipline visant à identifier, évaluer et hiérarchiser les risques liés aux activités d’une organisation, quelles que soient la nature ou l’origine de ces risques, puis à les traiter méthodiquement, de manière coordonnée et économique, afin de réduire et contrôler la probabilité des événements redoutés, et leur impact éventuel.
Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminialité, l’atteinte à l’image, l’espionnage, le sabotage.
Le software as a service ou logiciel en tant que service, est un modèle d’exploitation commerciale des logiciels dans lequel ceux-ci sont installés sur des serveurs distants plutôt que sur la machine de l’utilisateur.
Ensemble des programmes et des procédures nécessaires au fonctionnement d’un système informatique.
La souveraineté numérique désigne l’application des principes de souveraineté au domaine des technologies de l’information et de la communication, c’est-à-dire à l’informatique et aux télécommunications.
Le tableau de bord des risques est le miroir du tableau de bord d’implémentation de la stratégie. Pour chaque objectif stratégique est associé des mesures de performance et un plan d’action. Est également associé un tableau de bord des risques permettant de piloter les risques pouvant impacter la mise en œuvre de la stratégie.
Opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, …).
Surveillance attentive, sans défaillance.
Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser.
Ce contexte nouveau favorise l’émergence d’un réseau global sécurisé de cyberdéfense. La principale caractéristique de ce scénario est l’apparition d’une coopération constante et soutenue entre les Etats et les entreprises afin de lutter contre la cybercriminalité. Le WhiteNet offre un socle pour le développement de nouveaux business model. Le risque de cyber catastrophe est faible mais la menace ne disparaît pas pour autant. Le danger est surtout d’ordre géopolitique, en particulier dans la relation avec les Etats qui ne coopèrent pas pleinement dans le WhiteNet.
