A
Accountability

Désigne l’obligation pour les entreprises ou les organisations de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Agiles

Les méthodes agiles mettent en avant la collaboration entre des équipes auto-organisées et pluridisciplinaires et leurs clients. Elles s’appuient sur l’utilisation d’un cadre méthodologique léger mais suffisant centré sur l’humain et la communication.

Analyse de risque

Une analyse des risques est utilisée comme première étape d’un processus d’évaluation des risques. Le résultat d’une analyse des dangers est l’identification de différents types de dangers. Un danger est une condition potentielle et existe ou non.

Analyse de risque cyber

L’analyse de risque cyber, couvre la partie des risques liés aux activités nécessitant un système d’information (SI). C’est une démarche qui aide à aider l’entreprise à piloter ses projets de sécurité en évaluant les risques réels liées au SI.

ANSSI

Agence Nationale de la Sécurité des Systèmes d’Information créée en Juillet 2009. Ses missions principales sont :

  • Détecter et réagir aux cyber-attaques,
  • Prévenir les menaces en soutenant le développement de produits et services éprouvés pour les entités gouvernementales et les acteurs économiques
  • Fournir des conseils fiables et un soutien aux entités gouvernementales et des opérateurs des infrastructures critiques
  • Garder les entreprises et le grand public informés des menaces à la sécurité de l’information et les moyens connexes de la protection à travers une politique active de communication.

Anticipation risque

Il désigne la possibilité de survenance d’incidents ou d’accidents générés par l’activité d’une entreprise pouvant avoir des répercussions nuisibles et significatives sur l’environnement.

Authentification

Procédé cryptographique qui consiste à vérifier l’identité d’une personne, d’un serveur ou d’une machine afin d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux, applications…).

B
Backdoor

En français « porte dérobée ». Accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.

Blockchain 

Technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle. Elle constitue une base de données qui contient l’historique de tous les échanges effectués entre ses utilisateurs …

C
Calculateur quantique

Un calculateur quantique, utilise les propriétés quantiques de la matière, telle que la superposition et l’intrication afin d’effectuer des opérations sur des données.

Cartographie des risques

La cartographie des risques permet d’analyser et interroger les risques dans leurs caractéristiques spatiales. Elle intervient à plusieurs échelles et peut représenter soit la répartition spatiale des aléas, soit celle des enjeux, soit celle des vulnérabilités, soit une combinaison des trois facteurs.

Certification

Procédure par laquelle un organisme d’évaluation externe (appelé également tiers certificateur) va donner l’assurance écrite qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel.

Cloud

Le cloud computing, en français l’informatique en nuage, correspond à l’accès à des services informatiques via Internet à partir d’un fournisseur. Les principaux services proposés en cloud computing sont le SaaS, le PaaS et le IaaS ou le MBaaS.

Cloud de confiance

Le Cloud de confiance se définit comme l’ensemble des ressources d’un Cloud hybride, gérées par une plate-forme garantissant le respect des réglementations internes, locales et industrielles.

Collaboratif

Destiné à un travail en commun, sur le web.

Collective

Qui comprend ou concerne un ensemble de personnes.

Confiance

Espérance ferme, assurance d’une personne qui se fie à qqn ou à qqch.

Confidentialité

Maintien du secret d’informations (dans une administration, un système informatisé).

Cyber Résilience

La cyber-résilience fait référence à la capacité d’une entité à fournir en permanence le résultat escompté, malgré les cyber-événements indésirables. La cyber-résilience est une perspective en évolution qui gagne rapidement en reconnaissance.

Cyberattaque

Acte de piratage informatique sur Internet.

Cybercrime

Un cybercrime est une « infraction pénale susceptible de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau ». 

Cyberdéfense

Ensemble des mesures techniques et non techniques permettant à un État de défendre dans le cyberespace les systèmes d’informations jugés essentiels.

Cyberespace

Espace constitué par les infrastructures interconnectées relevant des technologies de l’information, notamment internet, et par les données qui y sont traitées.

Cybersécurité

État recherché pour un système d’information lui permettant de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles.

D
Design Thinking

Le design thinking, synthèse entre la pensée analytique et la pensée intuitive se veut repenser la façon traditionnelle d’aborder les projets d’innovation, en appliquant la même démarche que celle qu’aurait un designer.

Donnée personnelle

Toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.

DPO

Délégué à la protection des données. Chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisation qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cette organisation.

E
EBIOS

Expression des Besoins et Identification des Objectifs de Sécurité. Méthode complète de gestion des risques SSI conforme au RGS et aux normes ISO 27001, 27005 et 31000. Offre la possibilité d’élaborer et d’assurer le suivi d’un plan d’actions relevant de la sécurité des systèmes d’information.

Ebios Risk Manager

Découle de la méthode d’analyse de risque française de référence, EBIOS, qui permet aux organisations de réaliser une appréciation et un traitement des risques. La méthode EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.

Edge computing

L’edge computing est une méthode d’optimisation employée dans le cloud computing qui consiste à traiter les données à la périphérie du réseau, près de la source des données.

Ethique

Ensemble des conceptions morales.

F
Framework NIST

Le National Institute of Standards and Technology (NIST), est une agence appartenant au Département du Commerce des États-Unis ayant pour objet le développement de méthodologies et de standards. Cette organisation a conçu le NIST Cybersecurity Framework, qui représente un cadre volontaire visant à assister les organisations dans la gestion des cyber-risques. Il s’articule autour des normes de cybersécurité existantes pour mettre en avant des bonnes pratiques.

H
Hameçonnage

Technique de fraude sur Internet visant à obtenir des renseignements confidentiels (mot de passe, informations bancaires…) afin d’usurper l’identité de la victime.

HDS

Hébergeur de Données de Santé. Les données personnelles de santé sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité. La règlementation définit les modalités et les conditions attendues.

I
IaaS

L’infrastructure as a service ou infrastructure en tant que service est un modèle de cloud computing destiné aux entreprises où : l’entreprise gère le Middleware des serveurs, et surtout les logiciels applicatifs ; le fournisseur cloud gère le matériel serveur, les couches de virtualisation, le stockage, les réseaux. 

Incident cyber

Tentative non autorisée, réussie ou non, visant à accéder à un réseau ou à un système informatique ou visant à le modifier, à le détruire, à le supprimer ou à le rendre non disponible.

Incident sécurité

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.

Innovation

L’innovation est la recherche constante d’améliorations de l’existant, par contraste avec l’invention, qui vise à créer du nouveau.

Intelligence artificielle 

L’intelligence artificielle est « l’ensemble des théories et des techniques mises en œuvre en vue de réaliser des machines capables de simuler l’intelligence ». Elle correspond donc à un ensemble de concepts et de technologies plus qu’à une discipline autonome constituée.

ISO

International Organization for Standardization. Par ses membres, l’Organisation réunit des experts qui mettent en commun leurs connaissances pour élaborer des Normes internationales d’application volontaire, fondées sur le consensus, pertinentes pour le marché, soutenant l’innovation et apportant des solutions aux enjeux mondiaux.

  • ISO 27001
Certification qui permet aux entreprises et aux administrations d’attester de la mise en place effective d’un système de management de la sécurité de l’information.
  • ISO 27002
Donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information.
  • ISO 27005
Contient des lignes directrices relatives à la gestion des risques en sécurité de l’information. Elle vient en appui des concepts généraux énoncés dans l’ISO 27001.
  • ISO 21434
Norme qui fournit des lignes directrices en matière d’ingénierie de la cybersécurité pour tous les processus des différentes phases du cycle de vie d’un véhicule.

L
LPM

La Loi de Programmation Militaire (LPM) fixe sur un horizon de plusieurs années les priorités opérationnelles, les choix majeurs en matière d’équipements, ou d’effectifs. Elle traduit dans la durée l’engagement de la Nation en faveur de sa défense.

M
MBaaS

Le backend mobile en tant que service, également connu sous le nom de « backend as a service », est un modèle permettant aux développeurs d’applications web et mobiles de lier leurs applications au stockage

Méthode ebios

Expression des Besoins et Identification des Objectifs de Sécurité, est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000. … Elle permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI).

N
NIS

La Directive Network and Information System Security (NIS) vise à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Elle a été adoptée par les institutions européennes le 6 juillet 2016.

O
OIV

Opérateur d’importance vitale (OIV). Personne morale publique ou privée qui gère ou utilise des établissements ou des ouvrages dont la destruction ou même l’indisponibilité limiteraient gravement le potentiel militaire, la force économique, la sécurité, voire la capacité de survie d’un État, ou mettraient en danger sa population.

P
PaaS

Platform as a service, ou Plate-forme en tant que service, est l’un des types de cloud computing, principalement destiné aux développeurs ou aux entreprises de développement, où : l’entité cliente maintient les applications proprement dites 

PCI DSS

Norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard (PCI DSS)) qui s’applique aux différents acteurs de la chaîne monétique.

Politique de sécurité

Ensemble de lois, règles et pratiques régissant les moyens utilisés par une organisation pour gérer, protéger et distribuer des informations sensibles.

R
Rançongiciel

Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon.  

Résilience

Volonté et capacité d’un pays, de la société et des pouvoirs publics à résister aux conséquences d’une agression ou d’une catastrophe majeure puis à rétablir leur capacité de fonctionner normalement, ou à tout le moins dans un mode acceptable. Elle concerne non seulement les pouvoirs publics, mais également les acteurs économiques et la société civile tout entière.

RGPD

Règlement général sur la protection des données, est un règlement de l’Union européenne qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne.

RGS

Référentiel Général de Sécurité. Ensemble des règles établies par l’ANSSI et prévues par l’ordonnance no 2005-1516 du 8 décembre 2005 « relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives » que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialité ou encore l’horodatage.

Risk Management

La gestion des risques, ou l’anglicisme, management du risque (de l’anglais : risk management), est la discipline visant à identifier, évaluer et hiérarchiser les risques liés aux activités d’une organisation, quelles que soient la nature ou l’origine de ces risques, puis à les traiter méthodiquement, de manière coordonnée et économique, afin de réduire et contrôler la probabilité des événements redoutés, et leur impact éventuel.

Risque Cyber

Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminialité, l’atteinte à l’image, l’espionnage, le sabotage.

S
SaaS

Le software as a service ou logiciel en tant que service, est un modèle d’exploitation commerciale des logiciels dans lequel ceux-ci sont installés sur des serveurs distants plutôt que sur la machine de l’utilisateur.

Software

Ensemble des programmes et des procédures nécessaires au fonctionnement d’un système informatique.

Souveraineté numérique

La souveraineté numérique désigne l’application des principes de souveraineté au domaine des technologies de l’information et de la communication, c’est-à-dire à l’informatique et aux télécommunications.

T
Tableau de bord de risque cyber

Le tableau de bord des risques est le miroir du tableau de bord d’implémentation de la stratégie. Pour chaque objectif stratégique est associé des mesures de performance et un plan d’action. Est également associé un tableau de bord des risques permettant de piloter les risques pouvant impacter la mise en œuvre de la stratégie.

Traitement de données personnelles

Opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consultation, utilisation, …).

V
Vigilance

Surveillance attentive, sans défaillance.

Vulnérabilité

Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser.

W
Whitenet

Ce contexte nouveau favorise l’émergence d’un réseau global sécurisé de cyberdéfense. La principale caractéristique de ce scénario est l’apparition d’une coopération constante et soutenue entre les Etats et les entreprises afin de lutter contre la cybercriminalité. Le WhiteNet offre un socle pour le développement de nouveaux business model. Le risque de cyber catastrophe est faible mais la menace ne disparaît pas pour autant. Le danger est surtout d’ordre géopolitique, en particulier dans la relation avec les Etats qui ne coopèrent pas pleinement dans le WhiteNet.