Consultez notre glossaire IT et Cybersécurité pour connaitre tous les termes techniques, acronymes, abréviations et expressions utilisés dans le métier de l’IT et de la Cybersécurité . Ce lexique comprend toutes les définitions des termes clés (de 2FA à Zero-Day) ainsi que des exemples pour améliorer votre vocabulaire ainsi que votre compréhension de ce domaine.
Dans les domaines de l’informatique (IT) et de la cybersécurité, le vocabulaire technique constitue un socle fondamental pour assurer la compréhension, la cohérence et la réactivité face aux enjeux numériques. Ce langage spécialisé permet de décrire avec précision les infrastructures, les protocoles, les incidents et les solutions, tout en favorisant une communication fluide entre équipes techniques, métiers et prestataires.
Des termes comme pare-feu, authentification multifacteur (MFA), vulnérabilité zero-day, attaque DDoS, phishing, chiffrement, proxy, SIEM, endpoint ou certificat SSL sont bien plus que de simples acronymes. Ils désignent des mécanismes de défense, des menaces, ou des outils critiques pour la protection des systèmes d’information. En cybersécurité, une erreur d’interprétation due à une méconnaissance du vocabulaire peut avoir des conséquences graves, allant de la mauvaise configuration d’un réseau à l’exposition involontaire de données sensibles.
Du côté IT, la compréhension de notions comme API, serveur virtuel, conteneurisation, cloud hybride, DevOps ou résilience système est tout aussi essentielle pour administrer efficacement les infrastructures et accompagner les évolutions technologiques. Le vocabulaire sert ici à définir des architectures, décrire des processus automatisés ou encadrer les déploiements applicatifs.
Au-delà des aspects techniques, le vocabulaire commun est indispensable pour documenter, auditer, sensibiliser et former. Il permet d’élaborer des politiques de sécurité claires, de rédiger des procédures de réponse à incident, et de mener des campagnes de prévention accessibles à tous les collaborateurs.
2FA (double authentification) : La double authentification, ou 2FA, renforce la sécurité des accès en combinant deux facteurs distincts : généralement un mot de passe et un code temporaire reçu sur un appareil de confiance. Cette méthode permet de limiter considérablement les risques d’intrusion même si le mot de passe principal est compromis.
AAA (Authentification, Autorisation, Audit) : Le modèle AAA repose sur trois piliers essentiels à la cybersécurité : l’authentification pour vérifier l’identité, l’autorisation pour contrôler les accès et l’audit pour tracer les activités. Ce triptyque est largement utilisé dans les systèmes d’information pour sécuriser l’accès aux ressources et faciliter les contrôles ex post.
AAD (Azure Active Directory) : Azure Active Directory est un service d’annuaire cloud proposé par Microsoft. Il permet la gestion centralisée des identités et des accès pour les applications et ressources d’entreprise. AAD supporte l’authentification unique (SSO), le MFA et les politiques d’accès conditionnel, facilitant la sécurité dans les environnements hybrides et cloud.
ACL (Access Control List) : Une ACL est un mécanisme de filtrage qui définit quels utilisateurs ou systèmes peuvent accéder à des ressources précises, et avec quels niveaux de privilèges (lecture, écriture, exécution). Utilisée sur les réseaux, systèmes de fichiers et bases de données, elle renforce le contrôle d’accès et la traçabilité des actions.
Active Directory (AD) : Active Directory est un annuaire centralisé développé par Microsoft, utilisé pour gérer les ressources, utilisateurs et permissions dans les réseaux d’entreprise. Il permet une administration sécurisée et hiérarchisée des accès, des politiques de groupe, et une intégration avec des solutions de sécurité telles que les systèmes de détection d’intrusion.
Air gap : Un air gap est une mesure de sécurité physique consistant à isoler un système informatique du reste du réseau, y compris d’Internet. Cette séparation totale est employée pour protéger les données critiques dans les environnements sensibles (défense, énergie, finance), rendant tout accès distant ou attaque en ligne impossible.
Alerte de sécurité : Une alerte de sécurité signale une menace, une tentative d’intrusion ou une anomalie détectée par des systèmes de surveillance (SIEM, IDS, etc.). Elle permet aux équipes de cybersécurité de réagir rapidement pour contenir les incidents, renforcer les défenses et limiter les conséquences potentielles sur les données ou systèmes.
Analyse comportementale : L’analyse comportementale consiste à surveiller les habitudes d’un utilisateur ou d’un système pour identifier des écarts suspects. Cette méthode permet de détecter des comportements malveillants non repérés par des règles classiques, comme une connexion inhabituelle ou un transfert de données anormal. Elle s’appuie souvent sur des techniques d’intelligence artificielle.
Analyse de vulnérabilité : L’analyse de vulnérabilité vise à détecter, évaluer et classer les failles de sécurité dans un système informatique, un réseau ou une application. Elle repose sur l’utilisation d’outils d’analyse automatisée ou de scans manuels pour identifier les points faibles exploitables par des attaquants. Ce processus est essentiel pour prévenir les incidents de cybersécurité, en permettant de prioriser les correctifs nécessaires. Elle s’inscrit dans une démarche proactive de gestion du risque numérique et de mise en conformité réglementaire.
Analyse prédictive : L’analyse prédictive applique des algorithmes statistiques et d’apprentissage automatique pour anticiper les menaces futures en cybersécurité. En traitant des données historiques et comportementales, elle permet d’identifier des schémas à risque et d’orienter les défenses avant même qu’une attaque ne survienne. Elle s’intègre dans les outils de prévention avancée.
ANSSI : L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité française en matière de cybersécurité. Elle émet des recommandations, certifie des solutions, accompagne les administrations et entreprises stratégiques, et coordonne la réponse aux cybermenaces au niveau national. Elle joue un rôle clé dans la souveraineté numérique.
Application d’authentification : Une application d’authentification génère des codes temporaires permettant la validation d’une identité dans le cadre d’une double authentification (2FA). Elle est installée sur un smartphone ou un appareil personnel, et sécurise l’accès aux comptes sensibles. Des exemples incluent Google Authenticator, Microsoft Authenticator ou Authy.
APT (Advanced Persistent Threat) : Un APT désigne une attaque longue, ciblée et sophistiquée, menée par des acteurs souvent étatiques ou très organisés. Elle implique une présence furtive dans le système de la victime, visant à collecter des informations sensibles. Ces attaques s’étalent sur des mois et échappent aux méthodes de détection traditionnelles.
Attaque de la chaîne d’approvisionnement : Ce type d’attaque cible indirectement une entreprise en compromettant un fournisseur ou un prestataire. L’attaquant exploite les relations de confiance entre les partenaires pour insérer du code malveillant ou voler des informations. Ce vecteur est redouté car il permet de contourner les défenses internes de la cible principale.
Attaques sur IA : Les attaques contre les systèmes d’intelligence artificielle visent à perturber leur fonctionnement, détourner leurs décisions ou exploiter des biais. Cela peut inclure le data poisoning, l’adversarial learning ou l’extraction de modèles. Ces menaces émergentes concernent tous les secteurs recourant à l’IA, en particulier la cybersécurité, la finance ou la défense.
Authentification unique (SSO) : Le SSO permet à un utilisateur d’accéder à plusieurs services informatiques avec un seul identifiant. Cette méthode simplifie l’expérience utilisateur et réduit les risques liés à la gestion de multiples mots de passe. Elle repose sur des protocoles tels que SAML ou OAuth, et s’intègre souvent à l’Active Directory.
Autorité nationale de cybersécurité : Une autorité nationale de cybersécurité est un organisme public chargé de la protection des systèmes d’information d’intérêt vital. Elle établit les normes, supervise les incidents majeurs, soutient les infrastructures critiques et participe à la stratégie cyber nationale. En France, ce rôle est assumé par l’ANSSI.
Brute Force : L’attaque par brute force consiste à tester de manière exhaustive ou systématique des combinaisons de mots de passe jusqu’à trouver la bonne. Si le mot de passe est faible ou trop simple, le risque de compromission est élevé. Les systèmes doivent intégrer des mécanismes de limitation (blocage, captcha) et privilégier l’usage de mots de passe complexes, renforcés par une authentification multifactorielle pour contrer cette méthode.
Chain of Custody : La « chaîne de traçabilité » garantit l’intégrité des preuves numériques lors d’enquêtes judiciaires ou de procédures internes. Chaque manipulation, transfert ou stockage d’un fichier est consigné de manière rigoureuse afin d’assurer sa fiabilité. Ce principe est fondamental pour maintenir la validité des éléments collectés, en assurant qu’ils n’ont subi aucune altération pouvant compromettre leur valeur légale ou probante dans un contexte d’investigation.
Chiffrement des données : Le chiffrement est un procédé cryptographique qui transforme des données lisibles en un format illisible sans une clé de déchiffrement. Cette technique garantit la confidentialité des données, même en cas d’interception. Elle est largement utilisée dans les communications sécurisées, le stockage de données sensibles et les transactions bancaires. Le chiffrement assure également l’intégrité et l’authenticité des échanges, devenant un pilier fondamental de la protection des données en environnement numérique.
Conditions générales d’utilisation (CGU) : Les CGU sont un cadre contractuel régissant l’utilisation d’un site web ou d’un service numérique. Elles précisent les obligations de l’utilisateur, les modalités d’accès, les responsabilités du fournisseur et les conditions de traitement des données personnelles. L’acceptation des CGU engage l’utilisateur légalement. Ces clauses sont cruciales pour garantir la conformité avec le RGPD, encadrer la relation numérique et assurer la transparence entre l’éditeur et l’internaute, notamment en matière de données collectées à des fins commerciales.
Cryptojacking (piratage cryptographique) : Le cryptojacking est l’utilisation illégale des ressources d’un appareil (processeur, électricité) pour miner des cryptomonnaies, à l’insu de son propriétaire. Ce type d’attaque se propage via des malwares ou des scripts injectés dans des sites web. Il entraîne un ralentissement des machines, une consommation excessive d’énergie et une usure matérielle.
CSP (Content Security Policy) : La CSP est une directive de sécurité web permettant de contrôler les ressources (scripts, images, styles) qu’un navigateur est autorisé à charger sur un site. Elle limite les attaques de type XSS en empêchant le chargement de contenus non autorisés. C’est une mesure préventive puissante contre les injections malveillantes.
CSRF (Cross-Site Request Forgery) : Le CSRF est une attaque qui exploite la confiance d’un site web envers l’utilisateur authentifié. L’attaquant pousse ce dernier à exécuter une action non désirée (virement, modification) via une requête falsifiée. Cette faille met en péril l’intégrité des comptes utilisateurs et nécessite des protections comme les jetons CSRF.
CTI (Cyber Threat Intelligence) : La CTI est la collecte et l’analyse de renseignements sur les menaces cyber. Elle permet d’anticiper les attaques, de comprendre les techniques adverses et d’adapter les mesures de sécurité. La CTI s’appuie sur des sources internes et externes pour produire des indicateurs exploitables par les équipes de défense.
CVE (Common Vulnerabilities and Exposures) : CVE est une nomenclature standardisée qui recense les vulnérabilités de sécurité connues. Chaque faille reçoit un identifiant unique facilitant son suivi, sa diffusion et sa correction. Le système CVE est essentiel pour les professionnels de la cybersécurité dans la gestion des vulnérabilités et la priorisation des correctifs.
CVSS (Common Vulnerability Scoring System) : Le CVSS est un système de notation qui évalue la gravité d’une vulnérabilité informatique sur une échelle de 0 à 10. Il prend en compte des critères techniques comme la complexité d’exploitation, l’impact, ou l’accessibilité. Ce score permet de hiérarchiser les correctifs selon l’urgence de traitement.
Cyberattaque : Une cyberattaque est une action malveillante menée via un réseau informatique pour compromettre la sécurité d’un système, accéder à des données ou perturber un service. Elle peut prendre de nombreuses formes : phishing, ransomware, DDoS, etc. Les cyberattaques ciblent les entreprises, les administrations et les particuliers.
Cybercriminalité : La cybercriminalité regroupe l’ensemble des actes délictueux ou criminels perpétrés à l’aide ou dans le cadre du cyberespace. Elle inclut les infractions purement numériques (piratage, infection virale, contrefaçon logicielle) et celles qui utilisent les technologies comme vecteur (diffusion de contenus illicites, harcèlement en ligne). Elle pose d’importants défis juridiques, techniques et sociétaux.
Cybercriminel : Un cybercriminel est un individu ou un groupe impliqué dans des activités illégales sur internet, telles que le vol de données, la fraude, l’extorsion ou la diffusion de malwares. Ces acteurs peuvent être motivés par le gain financier, l’espionnage ou la déstabilisation. Ils représentent une menace constante pour la cybersécurité mondiale.
Cyberdéfense : La cyberdéfense désigne les dispositifs nationaux visant à protéger les systèmes d’information stratégiques face aux menaces numériques. Elle comprend à la fois des moyens de surveillance, de détection, de réponse et de contre-attaque, relevant de la lutte informatique défensive ou offensive. Elle est une composante essentielle de la sécurité nationale à l’ère numérique.
Cyberenquêteur : Le cyberenquêteur est un professionnel spécialisé dans l’investigation numérique. Il recueille, analyse et préserve des preuves électroniques dans le cadre d’une infraction ou d’un incident cyber. Il travaille avec des méthodes de forensique et peut intervenir dans des contextes judiciaires, industriels ou de renseignement.
Cyberespace : Le cyberespace est un univers immatériel formé par l’ensemble des réseaux numériques interconnectés, notamment Internet, et des systèmes qui y échangent des données. Il constitue le cadre de toutes les interactions informatiques, qu’elles soient individuelles, organisationnelles ou étatiques. C’est à la fois un espace d’opportunité, de communication et un terrain d’affrontement stratégique.
Cyberespionnage : Le cyberespionnage désigne la collecte clandestine d’informations sensibles (brevets, secrets d’affaires, données stratégiques) par des moyens numériques. Généralement orchestré par des États ou des groupes sophistiqués, il cible des organisations gouvernementales ou privées, dans une logique d’avantage concurrentiel, militaire ou diplomatique.
Cybermenace : Une cybermenace est un danger potentiel pesant sur les systèmes d’information. Elle peut provenir d’un acteur malveillant (cybercriminel, État), d’une faille technique ou d’une négligence humaine. La cybermenace est évaluée en fonction de sa probabilité, de son impact et de sa capacité à compromettre la confidentialité, l’intégrité ou la disponibilité.
Cybersécurité : La cybersécurité représente l’ensemble des conditions, techniques et pratiques visant à garantir la résilience des systèmes informatiques face aux menaces, qu’elles soient malveillantes ou accidentelles. Elle vise à maintenir l’intégrité, la confidentialité et la disponibilité des données numériques. Elle repose sur la prévention, la détection, la réaction et la remédiation.
Data Leaks : Les fuites de données, ou data leaks, correspondent à la divulgation non autorisée d’informations confidentielles, souvent liées à des attaques, erreurs humaines ou failles de configuration. Elles compromettent l’intégrité, la confidentialité et la disponibilité des données sensibles. Leurs conséquences peuvent être lourdes : atteinte à la réputation, sanctions juridiques, exploitation par des acteurs malveillants. Pour s’en prémunir, il est essentiel de mettre en place des audits réguliers, des outils de détection de vulnérabilités et une politique rigoureuse de protection des données.
DDoS (déni de service distribué) : Une attaque DDoS vise à rendre un service ou site web indisponible en le saturant de requêtes provenant de multiples sources. Orchestrée via des botnets, elle perturbe fortement les infrastructures ciblées, causant des interruptions coûteuses. La protection passe par des outils d’atténuation, une surveillance réseau et des architectures résilientes.
Deepfake (manipulation) : Un deepfake est un contenu audio ou vidéo truqué grâce à l’intelligence artificielle pour imiter de manière réaliste une personne. Il peut servir à la désinformation, à la fraude ou au chantage. Les deepfakes représentent une menace croissante pour la confiance dans les médias et l’intégrité des identités numériques.
Défense en profondeur : La défense en profondeur est une stratégie de cybersécurité reposant sur plusieurs couches de protection (réseau, terminal, applicatif, utilisateur). Elle permet de ralentir les attaquants, de contenir les intrusions et de renforcer la résilience. Chaque couche constitue une barrière complémentaire réduisant la probabilité d’un accès complet aux systèmes critiques.
Défiguration de site (defacement) : La défiguration de site consiste à modifier l’apparence ou le contenu d’un site web, souvent à des fins politiques ou idéologiques. Elle vise à véhiculer un message ou démontrer une faille. Bien que rarement destructrice, elle nuit à l’image de l’organisation visée et révèle des vulnérabilités exploitables.
Déni de service : Une attaque par déni de service empêche l’accès à un service en l’inondant de requêtes ou en exploitant des failles logicielles. Elle peut paralyser des sites, ralentir des applications critiques ou causer des pertes financières. Une stratégie anti-DDoS et un dimensionnement adéquat sont essentiels pour atténuer ces effets.
DevSecOps (pratique de sécurité) : DevSecOps intègre la sécurité dans le processus DevOps, dès la phase de développement. Cette approche collaborative encourage les développeurs, testeurs et experts sécurité à travailler ensemble, automatisant les contrôles et les audits. Elle permet de détecter les vulnérabilités plus tôt et de produire des logiciels plus robustes et conformes.
DLP (Data Loss Prevention) : Un système DLP vise à empêcher la fuite de données sensibles, qu’elle soit accidentelle ou malveillante. Il surveille les transferts de fichiers, les impressions ou les emails pour bloquer les informations critiques. Ces outils sont utilisés pour se conformer aux réglementations (ex. RGPD) et protéger la propriété intellectuelle.
Données personnelles : Les données personnelles sont des informations identifiables concernant une personne physique : nom, adresse, numéro, données biométriques, etc. Leur traitement est encadré par des lois comme le RGPD. La protection des données personnelles est un pilier de la cybersécurité, tant pour les droits des individus que pour les entreprises.
Données sensibles : Les données sensibles incluent des informations pouvant porter atteinte à la vie privée ou à la sécurité si elles sont divulguées. Cela comprend les données de santé, d’orientation sexuelle, d’opinion politique ou financières. Leur protection requiert des mesures renforcées (chiffrement, cloisonnement) et des politiques strictes de gouvernance des données.
Double extorsion : La double extorsion est une stratégie des cybercriminels qui chiffrent les données de leur victime (rançongiciel) tout en les exfiltrant pour menacer de les divulguer. Cela met une pression supplémentaire sur l’organisation ciblée, qui doit choisir entre payer la rançon ou affronter une fuite publique de données confidentielles.
DPD / DPO (Délégué à la protection des données) : Le DPD ou DPO est le responsable désigné pour assurer la conformité d’une organisation au RGPD. Il conseille, contrôle, forme et coopère avec l’autorité de contrôle. Sa mission inclut l’analyse des risques liés aux données personnelles et la mise en œuvre de politiques de protection adéquates.
Durcissement (hardening) : Le durcissement d’un système informatique consiste à en réduire la surface d’attaque en désactivant les services inutiles, en appliquant les correctifs, en limitant les privilèges, etc. Cette démarche préventive vise à rendre le système plus résilient aux intrusions et attaques en supprimant les vulnérabilités exploitables.
EBIOS (méthode) : EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode d’analyse des risques en cybersécurité développée en France. Elle permet d’identifier les menaces, de hiérarchiser les risques et de définir des mesures de sécurité adaptées. Elle est utilisée pour renforcer la protection des systèmes d’information critiques.
Éditeurs de code : Ces logiciels permettent d’écrire, éditer et tester du code source. Ils offrent des fonctions telles que la coloration syntaxique, l’auto-complétion, la gestion de projets ou l’intégration avec des outils de versioning. Indispensables aux développeurs, ils facilitent la lecture et la maintenance du code dans des environnements variés.
EDR (Endpoint Detection and Response) : Un EDR est une solution de sécurité installée sur les terminaux (ordinateurs, serveurs) qui détecte les comportements suspects, isole les menaces et propose une réponse automatisée. Il permet une visibilité accrue sur les incidents et complète les antivirus traditionnels par une approche comportementale et analytique.
Élévation de privilèges : L’élévation de privilèges désigne l’exploitation d’une faille pour obtenir un niveau d’accès supérieur à celui initialement autorisé. Un attaquant peut ainsi passer d’un compte utilisateur standard à des droits administrateur. Ce type d’attaque facilite la prise de contrôle d’un système ou la persistance d’un malware.
Empoisonnement des données (Data Poisoning) : Le data poisoning est une attaque visant à injecter des données malveillantes dans un système d’apprentissage automatique. L’objectif est de biaiser le modèle, de compromettre son fonctionnement ou de l’orienter vers des résultats erronés. Ce type d’attaque menace la fiabilité des systèmes d’intelligence artificielle.
Endpoint : Un endpoint est tout dispositif connecté à un réseau : poste de travail, smartphone, imprimante, serveur, etc. C’est une porte d’entrée potentielle pour les cyberattaques. La sécurisation des endpoints passe par des outils comme les EDR, le chiffrement, l’antivirus et des politiques de gestion centralisée.
Endpoint Detection & Response (EDR) : L’EDR est une technologie de sécurité dédiée à la surveillance en continu des postes de travail et serveurs. Elle combine détection comportementale, analyse des menaces et capacités de réponse automatisée. En identifiant en temps réel les activités suspectes, elle permet une réaction rapide aux attaques, via l’isolement du terminal ou la neutralisation de l’intrusion. Intégré à une stratégie de défense multicouche, l’EDR est un levier clé pour renforcer la résilience face aux menaces avancées.
Épouvanticiel (Scareware) : Un épouvanticiel est un logiciel trompeur visant à effrayer l’utilisateur pour l’inciter à effectuer une action précipitée, comme l’achat d’un faux antivirus ou l’installation d’un logiciel malveillant. Il se manifeste souvent par des fenêtres d’alerte critiques. Bien que simulé, le danger réside dans la réponse de l’utilisateur. Se protéger implique vigilance, blocage des pop-ups et usage de solutions antivirus reconnues.
Exploit (outil) : Un exploit est un programme ou un script conçu pour tirer parti d’une vulnérabilité spécifique dans un système ou une application. Il permet à un attaquant d’exécuter du code malveillant, d’élever ses privilèges ou de perturber un service. Les exploits sont classés selon leur dangerosité et leur facilité d’utilisation.
Fausses identités : Les fausses identités résultent fréquemment de fuites de données et consistent en l’usurpation de l’identité d’un individu ou d’une entité à des fins frauduleuses. Les cybercriminels s’en servent pour accéder illégalement à des services, détourner des fonds ou commettre des escroqueries. Ce phénomène, difficilement traçable, expose les victimes à des préjudices juridiques, économiques et réputationnels. Il constitue un enjeu majeur pour les dispositifs de vérification d’identité, nécessitant l’usage renforcé de solutions d’authentification forte.
Faux positif : Un faux positif est une alerte de sécurité générée par un système de détection (IDS, antivirus, EDR…) alors qu’aucune menace réelle n’est présente. Ils peuvent alourdir la charge des analystes, détourner l’attention des vraies alertes, et nécessitent un bon calibrage des outils pour améliorer leur précision et leur efficacité.
Filoutage (ou hameçonnage) : Le filoutage est une technique frauduleuse visant à inciter des internautes à divulguer des informations sensibles via des courriels, SMS ou sites contrefaits imitant des entités de confiance. Couramment appelée phishing, cette pratique exploite la crédulité des victimes et constitue l’un des vecteurs d’attaque les plus répandus dans la cybersphère.
Firewall (pare-feu) : Un pare-feu est un dispositif de sécurité réseau qui filtre les communications entrantes et sortantes selon des règles prédéfinies. Il bloque les connexions suspectes et autorise uniquement les flux légitimes. Essentiel dans toute architecture de cybersécurité, il existe en version matérielle, logicielle, et en solutions cloud de nouvelle génération.
Force brute (brute force) : L’attaque par force brute consiste à tester toutes les combinaisons possibles pour deviner un mot de passe ou une clé de chiffrement. Elle est souvent automatisée et devient efficace sur des identifiants faibles. Des protections comme le verrouillage de compte, le captchas ou le MFA permettent d’en limiter les effets.
Forensique (forensics) : La forensique numérique désigne l’ensemble des techniques utilisées pour collecter, analyser et conserver des preuves informatiques après un incident. Elle permet de retracer les actions d’un attaquant, d’identifier l’origine de l’attaque et d’appuyer des procédures judiciaires. Elle repose sur des standards stricts pour garantir l’intégrité des éléments de preuve.
Fournisseurs d’accès à Internet : Ils offrent aux particuliers et entreprises un accès au réseau Internet via différentes technologies (fibre, ADSL, 4G, satellite). Outre la connexion, ils proposent des services associés : hébergement, messagerie, sécurité. Leur fiabilité et leur rapidité de service conditionnent l’efficacité numérique des organisations modernes.
Gouvernance : En cybersécurité, la gouvernance regroupe les règles, processus, structures et responsabilités mis en place pour piloter la sécurité des systèmes d’information. Elle s’appuie sur des politiques, audits, indicateurs, et veille à la conformité réglementaire. Une gouvernance efficace est essentielle pour coordonner les efforts entre technique, direction et utilisateurs.
GPO (Group Policy Object) : Les GPO sont des objets de stratégie de groupe utilisés principalement dans les environnements Windows pour gérer de manière centralisée les configurations des utilisateurs et ordinateurs. Elles permettent de définir des règles de sécurité, des droits d’accès ou des paramètres système, garantissant l’uniformité et la conformité des postes.
Groupe APT : Un groupe APT (Advanced Persistent Threat) est une entité structurée et souvent sponsorisée par un État, qui mène des cyberattaques longues, discrètes et ciblées. Ces groupes disposent de ressources avancées et visent des objectifs stratégiques : espionnage, sabotage, vol de propriété intellectuelle. Leur activité est surveillée par les agences de renseignement.
Groupe cybercriminel : Un groupe cybercriminel est une organisation informelle ou structurée qui opère des attaques dans un but lucratif : ransomwares, fraude, vente de données, botnets, etc. Ces groupes agissent souvent depuis des pays peu coopératifs et utilisent le dark web pour échanger des outils ou des données volées, en toute discrétion.
Hacker éthique : Le hacker éthique, ou “white hat”, est un professionnel qui utilise ses compétences en sécurité pour tester les systèmes de manière légale. Il réalise des audits, des pentests, identifie des failles et propose des remédiations. Il contribue à améliorer la posture de sécurité des entreprises dans un cadre contractuel.
Hameçonnage (phishing) : Le phishing est une technique d’ingénierie sociale où l’attaquant incite la victime à fournir des informations sensibles (identifiants, coordonnées bancaires) en se faisant passer pour un tiers de confiance. Il est généralement véhiculé par email, SMS ou faux sites web. La formation et les outils de filtrage sont essentiels pour s’en prémunir.
Honeypot : Un honeypot est un leurre déployé volontairement dans un réseau pour attirer les cybercriminels. Il simule des services vulnérables et enregistre toutes les actions entreprises par l’attaquant. Cet outil permet d’observer les techniques d’intrusion, de collecter des données de renseignement et de détourner l’attention des ressources réelles. Utilisé par les équipes de cybersécurité, il contribue à l’analyse proactive et à l’anticipation des menaces.
Hyperviseur malveillant : Un hyperviseur malveillant est un logiciel qui s’insère entre le système d’exploitation et le matériel pour contrôler l’ensemble de l’activité de la machine à l’insu de l’utilisateur. Ce type de menace est très difficile à détecter car elle opère au plus bas niveau du système, sous les radars traditionnels.
IAM (Identity and Access Management) : L’IAM est un ensemble de technologies et politiques permettant de gérer les identités numériques et les droits d’accès des utilisateurs. Il couvre l’authentification, l’autorisation, la gestion des rôles et la traçabilité. L’IAM est crucial pour garantir que seules les personnes autorisées accèdent aux bonnes ressources, au bon moment.
IDS (système de détection d’intrusion) : Un IDS surveille le trafic réseau ou les journaux systèmes pour détecter des activités suspectes ou malveillantes. Il peut être basé sur des signatures ou des comportements. Il alerte les administrateurs mais n’agit pas automatiquement. L’IDS est un complément clé aux pare-feux et aux solutions EDR.
IDS / IPS : Un IDS (Intrusion Detection System) est un système qui analyse le trafic réseau à la recherche de comportements suspects. Il émet des alertes mais ne bloque pas directement l’activité. L’IPS (Intrusion Prevention System) agit en complément ou en prolongement, en bloquant automatiquement les actions malveillantes détectées. Ces outils sont essentiels pour une sécurité périmétrique efficace, notamment dans les environnements critiques ou fortement exposés.
Incident de sécurité : Un incident de sécurité est un événement affectant la confidentialité, l’intégrité ou la disponibilité des systèmes ou des données. Il peut s’agir d’une intrusion, d’un vol de données, d’un sabotage ou d’une exploitation de faille. La gestion des incidents repose sur une détection rapide, une réponse coordonnée et une communication maîtrisée. Une politique d’incident management est essentielle pour en limiter l’impact.
Ingénierie sociale (social engineering) : L’ingénierie sociale exploite les failles humaines plutôt que techniques. Elle vise à manipuler les individus pour leur faire révéler des informations ou réaliser des actions compromettantes. Cela peut inclure le phishing, le prétexte téléphonique, ou le tailgating. La sensibilisation des utilisateurs est la meilleure défense contre cette menace.
Injection : L’injection est une catégorie d’attaques qui consiste à introduire du code non prévu dans un système via une entrée utilisateur. Cela peut concerner du SQL, du code HTML (XSS), du système d’exploitation (Command Injection). Elle est due à une validation insuffisante des données entrantes et se corrige par filtrage et encodage.
Injection SQL : L’injection SQL est une faille qui permet à un attaquant d’injecter des requêtes malveillantes dans une base de données via un champ de formulaire mal protégé. Elle peut conduire au vol, à la modification ou à la suppression de données. Cette vulnérabilité critique nécessite des pratiques de codage sécurisé.
IoC (indicateur de compromission) : Un IoC est une information technique permettant d’identifier une menace ou une compromission : adresse IP malveillante, hash de fichier, nom de domaine suspect, etc. Ces indicateurs sont utilisés dans les outils de détection et d’investigation pour reconnaître les traces laissées par les cyberattaques et y réagir efficacement.
IPSec (Internet Protocol Security) : IPSec est un protocole de sécurité de niveau réseau qui assure la confidentialité, l’authenticité et l’intégrité des données échangées sur IP. Il est notamment utilisé dans les VPN pour sécuriser les communications entre deux points. IPSec repose sur des mécanismes de chiffrement et d’échange de clés robustes.
ISO 27001 : ISO 27001 est une norme internationale qui définit les exigences pour établir, mettre en œuvre et améliorer un système de management de la sécurité de l’information (SMSI). Elle permet aux organisations de gérer les risques liés à la sécurité des données et d’assurer la conformité réglementaire dans une approche certifiée.
ISO 27002 : ISO 27002 est un code de bonnes pratiques qui complète la norme ISO 27001. Elle fournit des lignes directrices pour la mise en œuvre des mesures de sécurité : contrôle d’accès, cryptographie, gestion des incidents, etc. Elle sert de référence pour l’élaboration des politiques et procédures en cybersécurité.
ISO 27005 : Cette norme fournit une méthode structurée pour l’analyse et la gestion des risques liés à la sécurité de l’information. Elle s’intègre dans l’approche ISO 27001 et permet d’identifier, d’évaluer, de traiter et de suivre les risques, selon une démarche continue. Elle est essentielle à la gouvernance sécurité d’une organisation.
ISO 31000 : ISO 31000 est une norme de gestion des risques applicable à tout type d’organisation. Elle fournit des principes et un cadre générique pour évaluer et traiter les incertitudes. Bien qu’elle ne soit pas spécifique à la cybersécurité, elle est souvent utilisée comme base dans la gestion des risques numériques.
Jumeau maléfique (evil twin) : Le jumeau maléfique est un faux point d’accès Wi-Fi configuré pour imiter un réseau légitime. Il est utilisé pour intercepter les connexions des utilisateurs et capturer leurs données (identifiants, mots de passe). Cette attaque de type « homme du milieu » est redoutable dans les lieux publics où les réseaux sont ouverts.
JWT (JSON Web Token) : Un JSON Web Token est un jeton d’authentification sécurisé qui permet de vérifier l’identité d’un utilisateur et ses droits sans stockage côté serveur. Utilisé dans les systèmes web modernes, il contient des informations encodées et signées. Il simplifie l’authentification dans les architectures distribuées tout en garantissant l’intégrité des données.
Keylogger (enregistreur de frappe) : Un keylogger est un logiciel ou dispositif matériel qui enregistre en secret toutes les frappes effectuées sur un clavier. Il est utilisé pour voler des mots de passe, messages ou informations personnelles. Les keyloggers peuvent être installés par un malware ou un individu malveillant ayant un accès physique au poste.
Kill chain (chaîne de frappe) : La kill chain décrit les différentes étapes d’une cyberattaque, de la reconnaissance à l’exfiltration des données. Ce modèle permet de comprendre le déroulement des attaques complexes et d’identifier les points d’intervention pour les contrer. Elle est largement utilisée dans la cybersécurité défensive et la planification stratégique.
Kill switch : Un kill switch est un mécanisme de sécurité permettant de désactiver un service ou un système en cas d’urgence. Utilisé pour stopper une application en cas de compromission ou pour contenir une attaque en cours, il permet de limiter les dégâts, voire d’interrompre la propagation d’un logiciel malveillant.
Liste de contrôle d’accès (ACL) : L’ACL est une méthode de gestion des droits permettant de définir, pour chaque ressource, les entités autorisées et les niveaux d’accès associés. Elle est utilisée dans les systèmes de fichiers, les réseaux et les applications. Son bon paramétrage permet de contrôler finement les autorisations et d’assurer la sécurité.
Logiciel rançonneur (rançongiciel) : Un logiciel rançonneur est un programme malveillant conçu pour bloquer l’accès aux données d’un utilisateur en les chiffrant. Il exige ensuite le versement d’une rançon, souvent en cryptomonnaie, pour restituer l’accès. Le ransomware cible aussi bien les particuliers que les entreprises et institutions, et peut causer des pertes majeures.
Logiciels anti-spam & anti-phishing : Ces outils filtrent les messages indésirables et détectent les tentatives de hameçonnage. Ils protègent les utilisateurs contre les escroqueries, les malwares ou les fuites de données. Intégrés aux messageries ou en solutions dédiées, ils renforcent la cybersécurité des communications professionnelles et personnelles.
Logiciels antivirus : Ils assurent la protection des ordinateurs et réseaux contre les virus, chevaux de Troie, ransomwares et autres logiciels malveillants. Ils analysent les fichiers en temps réel, bloquent les menaces et proposent des quarantaines sécurisées. Indispensables pour la sécurité informatique, ils évoluent face aux nouvelles formes de cyberattaques.
Logiciels bloqueurs de publicité : Ces extensions ou logiciels suppriment l’affichage des publicités sur les sites web, améliorant la navigation, réduisant les temps de chargement et limitant les risques de publicités malveillantes. Leur usage soulève toutefois des questions économiques pour les sites financés par la publicité en ligne.
Logiciels d’authentification : Ils garantissent l’accès sécurisé aux systèmes d’information via différents moyens : mot de passe, authentification à deux facteurs (2FA), biométrie. Ils sont essentiels dans la protection des données, la lutte contre les intrusions et la conformité aux normes de cybersécurité des entreprises.
Logiciels de chiffrement & cryptage : Ces outils transforment les données lisibles en données illisibles sans clé de déchiffrement. Ils protègent les communications, les fichiers sensibles ou les bases de données. Le chiffrement garantit la confidentialité, l’intégrité et la sécurité des informations échangées ou stockées, notamment dans les secteurs réglementés.
Logiciels de SaaS management : Ils permettent de gérer l’ensemble des logiciels utilisés en mode SaaS dans une organisation : supervision des abonnements, sécurité des accès, utilisation réelle, conformité. Ces outils donnent une vision centralisée de l’écosystème logiciel, optimisent les coûts et réduisent les risques liés à la multiplication des applications cloud.
Logiciels de sauvegarde & stockage de données : Ces solutions assurent la conservation et la récupération des fichiers en cas de suppression accidentelle, de panne ou d’attaque. Elles proposent des sauvegardes locales, cloud ou hybrides avec des politiques de versioning et de restauration. Essentielles à la continuité d’activité, elles sécurisent le patrimoine numérique des organisations.
Logiciels ITSM : Les logiciels de gestion des services informatiques (ITSM) structurent et automatisent la gestion des incidents, des demandes, des changements et des ressources IT. Basés sur les bonnes pratiques ITIL, ils permettent de professionnaliser la relation entre l’informatique et les utilisateurs internes, tout en optimisant les processus et coûts.
Logiciels Low Code / No Code : Ces plateformes permettent de créer des applications sans connaissances approfondies en programmation, via des interfaces visuelles ou des blocs de logique préconfigurés. Elles démocratisent le développement logiciel, accélèrent la mise en production et permettent aux équipes métiers de prototyper ou automatiser des processus.
Malware (logiciel malveillant) : Un malware est un logiciel conçu pour nuire à un système informatique. Il regroupe plusieurs familles comme les virus, vers, chevaux de Troie, ransomwares ou spyware. Il peut voler des données, détruire des fichiers ou prendre le contrôle d’un poste. Les malwares sont souvent diffusés via des emails piégés ou sites infectés.
Malware et Botnet : Les malwares sont des programmes conçus pour infiltrer, endommager ou voler des données. Ils peuvent s’introduire via des fichiers infectés, emails ou sites malveillants. Lorsqu’un appareil est compromis, il peut être enrôlé dans un botnet – un réseau contrôlé à distance par un pirate. Ces botnets servent à lancer des attaques de grande ampleur, comme les DDoS, tout en restant difficilement détectables. La prévention repose sur des outils de sécurité robustes.
Man-in-the-middle (homme du milieu) : L’attaque MITM consiste à intercepter la communication entre deux parties sans qu’elles s’en rendent compte. L’attaquant peut alors lire, modifier ou injecter des données. Elle est redoutable sur les réseaux Wi-Fi non sécurisés. Le chiffrement et les certificats numériques sont les principales protections contre ce type d’interception.
Menace interne (risque cyber) : La menace interne provient d’un collaborateur, prestataire ou partenaire ayant un accès légitime au système et en abusant, intentionnellement ou non. Elle peut résulter d’une négligence (perte d’un support, mot de passe faible) ou d’un acte malveillant. Sa détection repose sur la surveillance comportementale et des politiques strictes de sécurité.
MFA (authentification multifacteur) : Le MFA renforce la sécurité des accès en exigeant plusieurs facteurs d’authentification : quelque chose que l’on connaît (mot de passe), que l’on possède (téléphone), ou que l’on est (empreinte digitale). Il complique fortement la tâche des attaquants, même en cas de compromission d’un mot de passe.
MITRE ATT&CK : Le framework MITRE ATT&CK est une base de connaissances qui recense les tactiques, techniques et procédures (TTP) utilisées par les attaquants. Il permet de modéliser les menaces, d’évaluer la couverture des systèmes de défense, et de renforcer les capacités de détection et réponse. Il est devenu un standard du secteur.
Mode dégradé (fail-safe mode) : Le mode dégradé est une configuration permettant à un système de continuer à fonctionner partiellement en cas de défaillance. En cybersécurité, il est utilisé pour préserver la disponibilité minimale d’un service tout en limitant les risques, par exemple en désactivant des fonctionnalités non critiques ou exposées.
Mot de passe à usage unique : Un mot de passe à usage unique (OTP) est un code temporaire généré pour une authentification unique. Il est souvent envoyé par SMS ou généré via une application dédiée. Ce mécanisme réduit le risque de réutilisation des identifiants et s’inscrit dans les bonnes pratiques d’authentification renforcée.
Mouvement latéral (technique) : Le mouvement latéral est une technique utilisée par un attaquant une fois à l’intérieur du réseau. Elle consiste à se déplacer d’une machine à l’autre pour escalader les privilèges et atteindre des ressources critiques. Cette technique est caractéristique des attaques avancées, notamment dans les campagnes APT.
NIDS (Network Intrusion Detection System) : Le NIDS est un système de détection d’intrusion qui surveille le trafic réseau à la recherche de comportements suspects ou de signatures connues. Il alerte en cas d’activité anormale et peut être intégré à un SIEM. Contrairement à un IPS, il n’intervient pas activement pour bloquer l’intrusion.
NIS 2 (réglementation) : La directive NIS 2 est une évolution du cadre européen sur la sécurité des réseaux et des systèmes d’information. Elle étend les obligations de cybersécurité à de nouveaux secteurs, impose des règles de gouvernance et de notification d’incidents, et renforce les pouvoirs des autorités nationales de contrôle.
NIST Cybersecurity Framework (NIST CSF) : Le NIST CSF est un cadre de référence américain pour la gestion des risques cyber. Il repose sur cinq fonctions : identifier, protéger, détecter, répondre et récupérer. Adaptable à toutes tailles d’organisation, il aide à structurer une stratégie de cybersécurité alignée avec les meilleures pratiques internationales.
Obfuscation : L’obfuscation est une technique consistant à masquer ou complexifier le code source d’un programme afin d’en empêcher la compréhension, l’ingénierie inverse ou la détection. Elle est utilisée autant par les développeurs légitimes (protection de la propriété intellectuelle) que par les cybercriminels pour dissimuler des malwares.
OCSP (Online Certificate Status Protocol) : OCSP est un protocole utilisé pour vérifier en temps réel la validité d’un certificat numérique, notamment s’il a été révoqué. Il complète les listes de révocation (CRL) et permet de renforcer la sécurité des échanges HTTPS. Il est essentiel pour garantir la confiance dans les communications chiffrées.
Opérateur d’importance vitale (OIV) : Un OIV est une entité – publique ou privée – qui exploite des infrastructures ou systèmes essentiels à la sécurité nationale, à l’économie, à la santé ou à la défense. Leur vulnérabilité représenterait un danger majeur pour la continuité des services vitaux d’un État. Ils font l’objet d’obligations renforcées en cybersécurité.
OSINT (Open Source Intelligence) : L’OSINT désigne la collecte et l’analyse d’informations accessibles publiquement, notamment sur internet (sites, réseaux sociaux, forums, bases de données). En cybersécurité, il est utilisé pour surveiller les menaces, détecter les fuites de données, ou analyser les profils d’attaquants. Il est légalement encadré et exploité dans les cellules de renseignement.
OTP (One-Time Password) : Un OTP est un code temporaire généré automatiquement, valide une seule fois. Il est souvent utilisé dans les systèmes de double authentification pour sécuriser les accès. Contrairement à un mot de passe statique, il limite fortement les risques liés à l’interception, au phishing ou à la réutilisation frauduleuse.
OWASP (ressource de sécurité) : L’OWASP est une fondation qui fournit des ressources gratuites sur la sécurité des applications web. Son célèbre top 10 recense les principales vulnérabilités (injections, XSS, mauvaise configuration…). Ses outils, guides et formations sont largement utilisés par les développeurs et les professionnels de la cybersécurité pour sécuriser leurs applications.
Paramètres système : Les paramètres système désignent l’ensemble des réglages configurables d’un système d’exploitation ou d’un logiciel. Ils influencent la sécurité, la performance et le comportement du système. Une mauvaise configuration peut ouvrir des brèches exploitables par les attaquants. Leur gestion est essentielle dans les processus de durcissement et d’audit.
Patch (correctif) : Un patch est une mise à jour destinée à corriger une faille de sécurité, une erreur ou à améliorer une fonctionnalité. Appliquer les correctifs dès leur publication est crucial pour se prémunir des attaques exploitant les vulnérabilités connues (notamment 0-day). La gestion des patchs fait partie des obligations de sécurité informatique.
Payload (composant malveillant) : Un payload est la charge utile d’une attaque, c’est-à-dire le code exécuté après exploitation d’une vulnérabilité. Il peut s’agir d’un ransomware, d’un cheval de Troie, ou d’un script permettant la prise de contrôle à distance. Il constitue la finalité opérationnelle d’un exploit, souvent déclenchée à l’insu de la victime.
PCI DSS (norme) : La norme PCI DSS impose des exigences de sécurité pour les organisations traitant des données de cartes bancaires. Elle couvre la protection des données, la gestion des accès, le chiffrement et les tests réguliers. La conformité à cette norme est obligatoire pour les prestataires de paiement et les e-commerçants.
Pentest (test d’intrusion) : Un pentest est un test de pénétration réalisé par un expert pour évaluer la résistance d’un système face à des attaques simulées. Il permet d’identifier les failles techniques, organisationnelles ou humaines. Il s’effectue dans un cadre contractuel précis, avec rapport détaillé et recommandations de remédiation.
Pentester (métier) : Le pentester est le professionnel chargé de réaliser les tests d’intrusion. Il simule les attaques des cybercriminels pour détecter les vulnérabilités avant qu’elles ne soient exploitées. Il doit maîtriser les outils d’attaque, comprendre les architectures systèmes et rédiger des rapports clairs à destination des équipes techniques et de direction.
Phishing : Le phishing est une technique frauduleuse consistant à se faire passer pour une entité de confiance (banque, fournisseur, administration) afin de soutirer des informations confidentielles à une victime : identifiants, codes, numéros bancaires. Principalement véhiculé par courriel ou sites web falsifiés, ce procédé repose sur la tromperie psychologique et reste l’un des vecteurs les plus utilisés pour initier des cyberattaques ou des intrusions dans les systèmes d’information.
Plan de continuité d’activité (PCA) : Le PCA regroupe l’ensemble des dispositifs permettant à une organisation de maintenir ses activités critiques en cas d’incident majeur. Il inclut des procédures, ressources, sites de repli, et permet de limiter les interruptions. Il est complémentaire au plan de reprise d’activité et constitue une exigence réglementaire dans certains secteurs.
Plan de réponse aux incidents (PRI) : Le PRI est un document stratégique décrivant les étapes à suivre pour détecter, contenir, analyser, et éradiquer un incident de sécurité. Il structure la gestion de crise cyber et répartit les responsabilités. Son efficacité repose sur sa mise à jour régulière et sur des exercices pratiques de simulation.
Plan de reprise d’activité (PRA) : Le PRA est un dispositif visant à restaurer les systèmes informatiques après un incident ou sinistre. Il définit les délais, moyens, procédures, et priorités de redémarrage. Il s’appuie sur des outils de sauvegarde, des sites secondaires et des ressources humaines formées à la reprise rapide d’activité.
Politique de confidentialité : La politique de confidentialité informe les utilisateurs sur la manière dont leurs données personnelles sont collectées, utilisées, stockées et partagées. Elle est obligatoire dans de nombreuses juridictions. Elle contribue à la transparence, à la conformité RGPD et renforce la confiance entre l’organisation et ses utilisateurs ou clients.
Politique de sauvegarde : La politique de sauvegarde définit les règles relatives à la conservation, fréquence, format et localisation des copies de données. Elle garantit la possibilité de restaurer des informations en cas d’incident (attaque, erreur, panne). Une politique efficace précise les responsabilités, les tests de restauration et la durée de rétention.
Politique de sécurité : La politique de sécurité formalise les engagements d’une organisation en matière de cybersécurité. Elle encadre les comportements attendus, les niveaux de protection, les responsabilités et les procédures. Document fondamental du SMSI, elle doit être connue, appliquée et revue périodiquement pour rester adaptée à l’évolution des menaces.
Principe de moindre privilège (PoLP) : Le PoLP impose que chaque utilisateur, processus ou système ne dispose que des droits strictement nécessaires à l’accomplissement de ses fonctions. Cela limite la surface d’attaque et les dégâts en cas de compromission. Ce principe s’applique aux comptes, services, scripts et accès à distance.
Privilège : Un privilège est un droit d’accès accordé à un utilisateur ou processus pour effectuer une action spécifique. Une gestion rigoureuse des privilèges (notamment les comptes administrateurs) est essentielle pour éviter les abus, les escalades de privilèges et limiter les impacts en cas de compromission.
PSSI (politique de sécurité des systèmes d’information) : La PSSI est le document de référence encadrant les règles, obligations et pratiques en matière de sécurité des systèmes d’information. Elle couvre les aspects techniques, organisationnels et humains, et constitue le socle du management de la sécurité dans une entreprise. Elle doit être connue de tous les utilisateurs.
Quarantaine : La quarantaine est une mesure consistant à isoler un fichier, une machine ou un processus suspect pour éviter toute propagation de menace. Elle est couramment utilisée par les antivirus et EDR pour contenir les risques en attendant analyse ou suppression. Elle constitue une réponse immédiate aux comportements malveillants.
Rançongiciel (ransomware) : Le rançongiciel chiffre les données d’une organisation et exige une rançon pour en restituer l’accès. Il se propage par phishing, vulnérabilités ou RDP mal sécurisés. Les dommages sont importants : perte de données, interruption, atteinte à la réputation. Les sauvegardes et la sensibilisation sont des contre-mesures essentielles.
Ransomware : Le ransomware est un logiciel malveillant qui chiffre les données d’un système et exige une rançon pour leur restitution. Il vise aussi bien les particuliers que les entreprises, avec des conséquences potentiellement dévastatrices : perte de données, arrêt d’activité, chantage. Le paiement de la rançon n’assure pas le déblocage. Les bonnes pratiques incluent des sauvegardes régulières, une surveillance réseau continue et une formation des utilisateurs à la reconnaissance des vecteurs d’infection.
Red Team (équipe de sécurité) : La Red Team simule des attaques réelles pour tester la robustesse des défenses d’une organisation. Elle agit comme un attaquant externe, en cherchant à contourner les protections techniques et humaines. Elle est complémentaire à la Blue Team, qui défend. Ces exercices permettent d’évaluer la maturité globale en cybersécurité.
Régurgitation : La régurgitation en cybersécurité désigne le renvoi d’informations sensibles par une application non sécurisée (ex. : injection de script XSS avec affichage d’erreurs contenant des données). Elle peut permettre à un attaquant de récolter des informations sur le système, la structure ou les données de l’application.
Remédiation : La remédiation regroupe les actions prises après un incident de sécurité pour restaurer les systèmes, supprimer les causes racines, et empêcher une récidive. Elle inclut la suppression des malwares, la modification des accès, l’application de correctifs, et l’amélioration des contrôles. Elle est une phase critique du cycle de réponse aux incidents.
Résilience : La résilience désigne la capacité d’un système à résister à une attaque ou une panne, à en limiter les effets, et à se rétablir rapidement. Elle repose sur des éléments techniques (PRA, redondance), organisationnels (plans de crise) et humains (formation). C’est un objectif stratégique dans toute politique de cybersécurité.
RGPD (règlementation) : Le Règlement Général sur la Protection des Données (RGPD) est la législation européenne qui encadre le traitement des données personnelles. Il impose des obligations de transparence, de sécurité, de consentement, et de droits pour les individus. Il s’applique à toutes les organisations traitant des données de citoyens européens.
Rôle : En cybersécurité, un rôle désigne un ensemble de droits et permissions attribués à un utilisateur selon sa fonction. La gestion des rôles (RBAC) permet de standardiser les accès, de les auditer, et de limiter les excès de privilèges. Elle est essentielle dans les systèmes complexes pour assurer la sécurité.
Rootkit : Un rootkit est un logiciel conçu pour dissimuler la présence d’un autre programme malveillant ou permettre un accès furtif à un système. Il s’implante souvent au cœur du système (noyau) et échappe à la détection classique. Son éradication est complexe et nécessite souvent une réinstallation du système compromis.
RPO (Recovery Point Objective) : Le RPO définit la quantité maximale de données que l’on peut perdre entre deux sauvegardes. Il détermine la fréquence des sauvegardes requises pour répondre aux exigences de continuité d’activité. Un RPO faible signifie des sauvegardes fréquentes pour minimiser la perte de données en cas d’incident.
RSSI (Responsable de la Sécurité des Systèmes d’Information) : Le RSSI est le cadre chargé de la politique de sécurité informatique dans une organisation. Il définit les priorités, coordonne les actions techniques et organisationnelles, et veille à la conformité réglementaire. Il est l’interlocuteur privilégié en cas de crise cyber et doit maîtriser à la fois les aspects techniques et stratégiques.
RTO (Recovery Time Objective) : Le RTO est le délai maximal acceptable pour rétablir un service après un incident. Il guide les choix technologiques, les plans de reprise, et les investissements liés à la continuité d’activité. Un RTO court implique des moyens importants pour redémarrer rapidement les systèmes critiques.
Sandboxing : Le sandboxing est une technique qui consiste à exécuter un programme dans un environnement isolé, permettant d’analyser son comportement sans exposer le système principal. Ce bac à sable virtuel est utilisé pour tester des fichiers suspects, des applications ou des codes potentiellement malveillants. Il protège l’environnement de production tout en permettant une détection fine de comportements anormaux ou malveillants, renforçant la capacité d’analyse et de réponse.
SBOM (Software Bill of Materials) : Un SBOM est une liste détaillée des composants logiciels (bibliothèques, dépendances) intégrés dans une application. Il permet d’identifier les vulnérabilités connues et de suivre les mises à jour de sécurité. Recommandé par les autorités, le SBOM améliore la transparence et facilite la gestion des risques liés à la chaîne logicielle.
SecNumCloud : SecNumCloud est un référentiel de l’ANSSI certifiant les services cloud conformes aux exigences de sécurité françaises, en particulier pour les données sensibles ou souveraines. Il garantit la localisation en France, la maîtrise des accès, et une gouvernance de confiance. Il s’adresse aux acteurs publics ou aux entreprises à forts enjeux.
Secret : En cybersécurité, un secret désigne toute information sensible (clé API, mot de passe, jeton, certificat) utilisée pour sécuriser les accès ou les communications. Une mauvaise gestion des secrets peut exposer un système entier. Des outils comme les coffres-forts numériques (ex. HashiCorp Vault) permettent de les stocker et de les gérer.
Sensibilisation à la cybersécurité : La sensibilisation est un volet essentiel de toute politique de cybersécurité. Elle consiste à former les utilisateurs aux risques (phishing, mots de passe, navigation) et aux bons réflexes à adopter. Des campagnes régulières réduisent significativement les erreurs humaines, première cause d’incidents de sécurité dans les organisations.
Services IT : Il s’agit de l’ensemble des prestations techniques fournies par des experts en informatique : gestion de parc, maintenance, cybersécurité, infogérance, cloud computing. Ces services permettent aux entreprises de disposer d’une infrastructure fiable, évolutive et adaptée à leurs besoins tout en externalisant les contraintes techniques.
Shadow IA : Le shadow IA désigne l’utilisation non autorisée d’outils d’intelligence artificielle par des salariés, souvent sans validation de la direction informatique. Cela peut entraîner des fuites de données, des violations de conformité ou des dépendances non maîtrisées. La gestion des usages IA devient un enjeu de gouvernance stratégique.
Shadow IT : Le Shadow IT désigne l’usage de solutions numériques non validées par la direction informatique d’une organisation. Ce recours à des applications ou services tiers, comme des outils de transfert ou de stockage en ligne, échappe au contrôle de sécurité de l’entreprise. Il engendre des risques accrus : failles de sécurité, non-conformité réglementaire, pertes de données. Pour mitiger ces dangers, une gouvernance stricte des outils numériques, accompagnée d’une sensibilisation des collaborateurs, est indispensable.
SIEM (Security Information and Event Management) : Le SIEM centralise les journaux d’événements des systèmes d’une organisation pour détecter les incidents, produire des alertes et faciliter les enquêtes. Il corrèle les données issues des pare-feux, antivirus, serveurs, etc. Outil clé pour le SOC, il permet de renforcer la réactivité face aux menaces.
Smishing : Le smishing est une forme de phishing utilisant les SMS pour tromper l’utilisateur. Le message contient souvent un lien vers un site frauduleux ou un formulaire capturant des données sensibles. Cette technique exploite la confiance accordée aux messages mobiles, rendant les utilisateurs vulnérables à l’usurpation d’identité, au vol bancaire ou à l’installation de malwares. La prudence face aux SMS non sollicités est impérative pour éviter ces risques.
SMSI (Système de Management de la Sécurité de l’Information) : Le SMSI est une approche structurée permettant de piloter la cybersécurité selon la norme ISO 27001. Il comprend la gouvernance, l’analyse des risques, les plans d’action, les audits et l’amélioration continue. Il permet de démontrer la maîtrise des enjeux de sécurité auprès des partenaires et autorités.
SOAR (Security Orchestration, Automation, and Response) : Le SOAR est une plateforme qui automatise les tâches de détection et de réponse aux incidents. En intégrant les outils existants (SIEM, EDR…), il réduit les délais de réaction, diminue la charge des analystes et standardise les réponses. Il est devenu indispensable dans les SOC modernes.
SOC (Security Operations Center) : Le SOC est le centre opérationnel de sécurité d’une organisation. Il regroupe des analystes chargés de surveiller en temps réel les systèmes, d’analyser les alertes et de coordonner la réponse aux incidents. Il repose sur des outils comme le SIEM, le SOAR ou l’EDR, et fonctionne 24/7 dans les grandes structures.
Social Engineering : L’ingénierie sociale est un procédé de manipulation psychologique visant à tromper des personnes pour qu’elles révèlent des informations confidentielles ou permettent l’accès à des systèmes sécurisés. L’attaque repose sur la crédulité, l’autorité ou l’urgence. Les vecteurs incluent les appels, les emails, ou les interactions directes. Contrairement à une attaque technique, cette méthode cible le facteur humain, souvent maillon faible en cybersécurité.
Spyware (logiciel espion) : Un spyware est un programme malveillant conçu pour espionner les activités de l’utilisateur à son insu. Il peut enregistrer les frappes, capturer l’écran, suivre la navigation ou transmettre des données sensibles à un tiers. Il se propage souvent via des logiciels gratuits ou des pièces jointes piégées.
Surface d’attaque : La surface d’attaque représente l’ensemble des points par lesquels un attaquant peut tenter de pénétrer un système : ports ouverts, services exposés, utilisateurs mal formés, etc. Réduire cette surface (hardening, segmentation, cloisonnement) permet de limiter les opportunités d’exploitation et constitue une démarche proactive de sécurité.
Takedown (retrait) : Le takedown est une action visant à faire retirer un contenu ou une infrastructure malveillante (site de phishing, botnet, serveur de commande) via des demandes légales ou techniques. Il est mené par des autorités, éditeurs ou CERT pour limiter la portée des attaques et protéger les victimes potentielles.
Threat Intelligence : La Threat Intelligence regroupe les informations collectées, analysées et partagées sur les menaces informatiques actuelles ou émergentes. Elle permet de mieux anticiper les attaques, de comprendre les modes opératoires et d’ajuster les défenses. Elle repose sur des flux de données, des plateformes collaboratives et des experts en veille.
TLS (Transport Layer Security) : TLS est un protocole de chiffrement qui sécurise les communications entre les systèmes sur internet, notamment via HTTPS. Il garantit la confidentialité, l’intégrité et l’authenticité des données. TLS a succédé à SSL et repose sur des certificats numériques validés par des autorités de certification (CA).
Token : Un token est un jeton numérique qui authentifie un utilisateur ou autorise une transaction. Il peut être temporaire (JWT, OTP) ou lié à un dispositif physique (clé USB, badge). Il sécurise les sessions, les paiements ou les accès aux API, en remplaçant ou en renforçant l’usage du mot de passe.
TTP (Tactiques, Techniques et Procédures) : Les TTP décrivent la manière dont les attaquants opèrent : leurs objectifs (tactiques), les moyens (techniques) et leur mise en œuvre (procédures). Ce concept, central dans la Threat Intelligence, permet d’identifier les groupes APT, de détecter leurs empreintes et d’anticiper leurs actions futures grâce aux frameworks comme MITRE ATT&CK.
Two-Factor Authentication (2FA) : L’authentification à deux facteurs (2FA) est un mécanisme de sécurité consistant à vérifier l’identité d’un utilisateur au moyen de deux éléments distincts : généralement un mot de passe, combiné à un code envoyé sur un téléphone ou une application dédiée. Cette méthode réduit fortement les risques de piratage en rendant l’accès impossible sans la possession des deux facteurs requis, renforçant ainsi la protection des comptes sensibles.
UDP flood : L’UDP flood est une attaque par déni de service qui envoie un grand nombre de paquets UDP à une cible, saturant sa capacité de traitement. Elle peut entraîner la perte de connectivité ou l’épuisement des ressources. Les protections incluent le filtrage réseau, le rate-limiting et les pare-feux spécialisés.
UEBA (User and Entity Behavior Analytics) : UEBA est une technologie qui analyse le comportement des utilisateurs et entités du système pour détecter des anomalies. En se basant sur des modèles comportementaux, elle identifie les activités inhabituelles, même sans signature connue. Elle est particulièrement efficace contre les menaces internes ou les attaques furtives.
Usurpation d’identité : L’usurpation d’identité numérique consiste à utiliser les informations personnelles d’un tiers pour accéder à ses services ou commettre une fraude. Elle peut découler d’un phishing, d’une fuite de données ou d’un vol de session. Elle nécessite des mesures de prévention (MFA) et de détection (alerte d’activité suspecte).
Vecteur d’attaque : Le vecteur d’attaque désigne le chemin ou la méthode par lequel un attaquant accède à un système : email piégé, site web infecté, clé USB, RDP exposé… Identifier et cartographier ces vecteurs est essentiel pour construire une défense adaptée et réduire les points d’entrée exploitables.
Virtual Private Network (VPN) : Un VPN permet de créer un tunnel sécurisé entre l’utilisateur et un réseau distant. Il chiffre les données échangées, masque l’adresse IP et protège la navigation contre les interceptions. Utilisé pour sécuriser les connexions sur des réseaux publics ou contourner les restrictions géographiques, il est essentiel pour préserver la confidentialité en ligne, notamment dans les environnements professionnels ou les contextes de surveillance.
Virus : Un virus est un type de malware capable de se répliquer en infectant d’autres fichiers ou programmes. Il peut corrompre, supprimer ou voler des données, et se propage souvent via des supports amovibles ou des fichiers joints. Les antivirus et les bonnes pratiques utilisateurs sont essentiels pour s’en prémunir.
Vol de données : Le vol de données consiste à accéder illégalement à des informations confidentielles : fichiers clients, documents internes, brevets, etc. C’est souvent l’objectif final d’une intrusion. Il peut avoir des conséquences juridiques, financières et réputationnelles. Le chiffrement, l’audit des accès et la surveillance réseau permettent de limiter les risques.
VPN (réseau privé virtuel) : Le VPN chiffre le trafic entre un terminal et un serveur distant, créant un tunnel sécurisé. Il permet de protéger les communications sur des réseaux publics, de contourner la censure, ou d’accéder à un réseau interne à distance. Il doit être correctement configuré pour éviter des failles (fuites DNS, logs).
Vulnérabilité : Une vulnérabilité est une faille de sécurité dans un logiciel, un système ou un processus pouvant être exploitée par un attaquant. Elle peut provenir d’erreurs de codage, de configuration ou d’architecture. Sa gestion passe par le patch management, les audits réguliers et l’application de politiques de sécurité robustes.
WAF (Web Application Firewall) : Un WAF protège les applications web contre les attaques telles que les injections SQL, les XSS ou le scraping. Il filtre le trafic HTTP et applique des règles spécifiques pour bloquer les requêtes malveillantes. Il est particulièrement utile pour les applications exposées sur internet et les services publics en ligne.
War game : Un war game est un exercice simulé de cybersécurité qui reproduit une attaque réelle afin de tester la réactivité des équipes et la robustesse des dispositifs en place. Il peut impliquer les équipes Red et Blue, et inclure des scénarios de crise. Il permet d’identifier les failles organisationnelles et techniques.
Web scraping : Le web scraping est une technique automatisée de collecte de données sur les sites web. Utilisé à des fins légitimes (veille, indexation) ou malveillantes (vol de contenu, reconnaissance), il peut représenter un risque si mal encadré. Les sites peuvent s’en protéger via des règles anti-bots ou du cloisonnement.
XSS (Cross-Site Scripting) : Le XSS est une vulnérabilité web permettant à un attaquant d’injecter du code JavaScript dans une page vue par d’autres utilisateurs. Cela peut conduire au vol de cookies, à la redirection vers des sites malveillants ou à la modification de contenu. La validation des entrées est essentielle pour s’en protéger.
Yubikey : Une Yubikey est une clé de sécurité physique utilisée pour l’authentification forte. Compatible avec les protocoles FIDO2, OTP, PIV, elle remplace les codes temporaires et renforce la protection contre le phishing. Elle est particulièrement utilisée dans les environnements sensibles et pour l’accès aux comptes critiques (email, cloud, VPN…).
Zero Trust : Le modèle Zero Trust repose sur le principe « ne jamais faire confiance, toujours vérifier ». Il remet en cause la confiance implicite dans le réseau interne. Chaque accès est strictement contrôlé, authentifié et surveillé, quel que soit l’emplacement. C’est une approche stratégique contre les attaques avancées et les menaces internes.
Zero-Day (0-day) : Une vulnérabilité zero-day est une faille inconnue du fournisseur d’un logiciel, activement exploitée avant qu’un correctif ne soit publié. Ces failles sont redoutables car aucun mécanisme de défense n’existe encore à leur apparition. Les attaques zero-day nécessitent une réactivité maximale des équipes de sécurité pour limiter les dégâts. Elles sont souvent exploitées dans des campagnes ciblées, notamment contre des infrastructures stratégiques ou sensibles.
