Vous trouverez ci-après une liste des termes et abréviations les plus fréquemment
utilisés en cybersécurité, et RGPD.
Abréviations
- ANSSI Agence Nationale de la Sécurité des Systèmes d’Information
- BIA Bilan d’Impact sur les Activités
- BOT Diminutif de robot
- BYOD Bring Your Own Device
- CA Continuité d’Activité
- CLUSIF Club de la Sécurité des Systèmes d’Information Français
- CNIL Commission Nationale de l’Informatique et des Libertés
- CCO Cellule de Crise Opérationnelle
- CCD Cellule de Crise Décisionnelle
- DCSSI Direction Centrale de la Sécurité des Systèmes d’Information
- DMIA Délai d’Interruption Admissible
- DOS Denial of service (Dénis de service)
- DPO DATA Protection Officer (Délégué à la protection des Donnée en Français)
- DSI Directeur des Systèmes d’Information
- EBCA Expression de Besoins de Continuité d’Activité
- EBIOS Expression des Besoins et Identification des Objectifs de Sécurité
- GC Gestion de crise
- IDS Intrusion Detection System (Sonde de détection d’intrusion)
- IPS Intrusion Prevention System (Sonde de prévention d’intrusion)
- MCA Management de la Continuité
- MCO Maintien en Conditions Opérationnelles
- MEHARI Méthode Harmonisée d’Analyse de Risques
- PCA Plan de Continuité d’Activité
- PDMA Perte de Données Maxi Admissible
- PKI Public Key Infrastructure
- PRA Plan de Reprise d’Activité
- PCI DSS Payment Card Industry Data Security Standard
- PRN Plan de Retour à la Normale
- PRU Plan de Repli Utilisateurs
- PSI Plan de secours Informatique
- PSSI Politique de Sécurité du Système d’Information
- RGPD Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR)
- RPO Recovery Point Objective (durée maximum d’enregistrement des données qu’il est acceptable de perdre lors d’une panne)
- RSSI Responsable de la Sécurité des Systèmes d’Information
- RTO Recovery Time Objective (durée maximum d’interruption admissible)
- SIEM Security Information and Event Management
- SPAM Courier indésirable
- SPOF Single Point of Failure
- SI Système d’Information
- SMSI Système de Management du Système d’Information
- SSI Sécurité des Systèmes d’Information
- SSO Single Sign On
Cyber-Définitions
- Audit de conformité : l’audit de conformité consiste à réaliser un état des lieux du système d’information par rapports aux normes, standards et réglementations de sécurité.
- Audit de vulnérabilité : l’audit de vulnérabilité consiste à rechercher l’ensemble des vulnérabilités du système d’information (réseau, Web, etc.).
- Cartographie des risques : la cartographie des risques permet d’analyser et de mesurer les risques liés à une ou plusieurs activités.
- Cloud computing : le cloud computing ou cloud correspond à la mise à disposition (à la demande ou en libre-service) de ressources informatiques partagées et configurables via un réseau de télécommunication.
- Cyber-criminalité : Ensemble des infractions pénales commises via les réseaux informatiques notamment Internet. Pour extorquer des fonds, voler des données, les cyber-délinquants utilisent différents modes opératoires, tels que le phishing, les malwares (dont les ransomwares) ou encore l’ingénierie sociale (fraude identitaire, faux ordre de virement…) , avec des impacts économiques, humains et organisationnels aux conséquences lourdes.
- Cyber-risques : les cyber-risques correspondent à l’ensemble des menaces numériques pouvant porter atteinte à l’intégrité d’une organisation et/ou d’un système d’information.
- Cyber-extorsion : la forme la plus répandue de cyber-extorsion consiste à demander une rançon contre la remise d’une clé permettant le décryptage des données.
- Dénis de service : le dénis de service est une cyber-attaque visant à empêcher un serveur ou un réseau de serveurs de fonctionner.
- Evaluation des risques : l’évaluation des risques correspond à l’ensemble des méthodologies permettant de mesurer la criticité d’un risque sur l’activité d’une entreprise.
- Forensique : une analyse forensique correspond à une analyse du système informatique après un incident.
- Gestion de crise : la gestion de crise correspond à l’ensemble des moyens organisationnels et techniques mis en oeuvre par une organisation pour se préparer et faire face à une situation de crise majeure.
- Gestion de risques : la gestion de risques est une démarche et/ou un processus qui consiste à identifier les risques qui pèsent sur une entreprise en vue de les réduire.
- Hébergement : l’hébergement permet de constituer un système d’information miroir avec l’entreprise en vue de prendre le relai en cas de panne système, d’incendie, d’interruption de services,….
- Menace : la menace correspond à une intention affichée ou non d’une personne physique ou morale d’infliger des dommages matériels et/ou humains à une organisation et/ou à un groupe de personnes.
- Méthode EBIOS : EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d’identifier les risques d’un système d’information et de proposer une politique de sécurité adaptée aux besoins de l’entreprise. Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information), du Ministère de la Défense.
- Méthode MEHARI : Mehari (Méthode Harmonisée d’Analyse de Risques) est développée par le CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion.
- Norme Iso 19001: la norme Iso 19001 regroupe les lignes directrices pour l’audit des systèmes de management.
- Norme ISO/CEI 27002 : la norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l’information.
- Norme ISO/CEI 27005 : la norme ISO 27005 explique comment conduire l’appréciation des risques et le traitement des risques dans le cadre de la sécurité de l’information. La norme ISO 27005 propose une méthodologie de gestion des risques en matière d’information dans l’entreprise conforme à la norme ISO/CEI 27001.
- Pharming (ou dévoiement en français) : le pharming est une technique de piratage informatique exploitant des vulnérabilités DNS.
- Phishing : le phishing ou l’hameçonnage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but d’usurper une identité. C’est la première typologie d’acte malveillant recensé dans les entreprises en France en 2022 (source ANSSI)
- Plan d’assurance : le plan d’assurance correspond aux polices d’assurance souscrites par une entreprise afin de se prémunir des conséquences d’un sinistre avéré.
- Plan de continuité d’activité : le plan de continuité ou le plan de continuité d’activité est un document stratégique dans lequel est formalisé l’ensemble des procédures et actions à mettre en œuvre en cas de sinistres graves ou de crise majeure. Son objectif principal est de réduire les impacts d’une crise ou d’une catastrophe sur l’activité d’une entreprise ou d’un groupe.
- Ransomware / Rançongiciel : Les Ransomwares, ou Rançongiciels en Français, sont l’une des plus grande menace pesant sur les organisations et particuliers à ce jour. Généralement, ils entrent en action par le biais de virus contenus dans dans des pièces jointes ou des liens piégés. le virus s’installe alors sur votre ordinateur et s’applique à chiffrer tous les fichiers de l’entreprise , ou de votre ordinateur, rendant ceux-ci inaccessibles.
- Risque : le risque c’est la combinaison de la probabilité d’occurrence d’un évènement et de ses conséquences. Le risque peut être potentiel, avéré, émergent ou futur.
- Sinistre : un sinistre est un dommage entraînant des pertes matérielles et/ou humaines. Il peut être causé par une catastrophe naturelle, un accident industriel, un incendie, etc…
- Sinistre Informatique : un sinistre informatique correspond au conséquences d’une cyber-attaque réussie sur une système d’information entraînant des pertes importantes.
- Simulation de crise : la simulation de crise est un moyen de tester un dispositif de crise en organisant des exercices proches de la réalité.
- Test de déni de service : le test de déni de service permet d’évaluer le niveau de résistance d’une application, d’une infrastructure ou d’un serveur face aux attaques de type DoS et DDoS (Déni de service distribué) mais aussi d’évaluer la gestion de ce type d’incident par les personnes en charge des systèmes ciblés.
- Test d’intrusion : le test d’intrusion a pour objectif d’évaluer l’impact que pourrait avoir un attaquant sur le système d’information. Il existe plusieurs types de test d’intrusion : le test d’intrusion interne (« test du stagiaire »), le test d’intrusion externe (test à partir d’une connexion informatique), le test d’intrusion téléphonique, le test d’intrusion physique, le test d’intrusion sans fil.
- Test de robustesse : le test de robustesse consiste à évaluer le niveau de sécurité d’un élément informatique face à un éventuel attaquant ayant un accès physique à celui-ci.
- Ver informatique : un ver informatique est un virus réseau capable de se propager et de se dupliquer par ses propres moyens. Il n’a pas besoin de support physique ou logique pour se déplacer (disque dur, programme hôte,…).
- Violation de données : une violation de données est un incident de sécurité au cours duquel des données sensibles, protégées ou confidentielles sont copiées, transmises, consultées, volées ou utilisées par une personne qui n’y est pas autorisée. La violation de données peut impliquer des données personnelles, bancaires, financières, médicales, commerciales, …
- Virus informatique : un virus informatique est programme d’ordinateur conçu pour se propager à d’autres programmes d’ordinateurs en les modifiant afin qu’ils puissent se reproduire à leur tour.
- Vulnérabilité : la vulnérabilité est une appréciation de la capacité d’un système et/ou d’une organisation à faire face au(x) risque(s) pouvant remettre en cause la pérennité d’une activité.
Définitions RGPD
- Accountability : Désigne l’obligation imposée par le GDPR/RGPD aux entreprises, de mettre en œuvre des mécanismes, des documents et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
- Analyse d’impact relative à la protection des données (PIA) : elle vise à évaluer tous les processus et toutes les bases de données d’un département donné (finalités, durée de conservation des données, droits des personnes…) et à analyser les risques sur la sécurité des données (accès aux données, fraudes…) et leurs impacts potentiels sur la vie privée, afin de déterminer les mesures techniques et d’organisation pour protéger les données.
- Anonymisation : Traitement permettant de rendre les données personnelles anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable.
- Base légale d’un traitement : Justification d’un traitement. Cette justification peut être : Le consentement, L’exécution du contrat, Une obligation légale, La sauvegarde des intérêts vitaux de la personne concernée, Nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, Nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement.
- Cartographie des données : Dans un premier temps, l’entreprise doit cartographier les processus de collecte des données à caractère personnel, concernant les employés comme les clients ou les candidats à l’embauche. Elle doit ensuite identifier les traitements qui leur sont associés et , leurs lieux et formats de stockage et consigner le tout dans un registre dédié.
- Chiffrement : Opération qui consiste à transformer un message à transmettre, dit « message clair », en un autre message, inintelligible pour un tiers, dit « message chiffré », en vue d’assurer le secret de sa transmission.
- CNIL (Commission Nationale de l’Informatique et des Libertés) : Autorité de contrôle chargée de veiller à la bonne application de la règlementation sur les données personnelles.
- Confidentialité des données : selon l’Organisation mondiale de normalisation (ISO), la confidentialité des données consiste à s’assurer que les données ne sont accessibles qu’aux personnes autorisées, et donc à protéger les communications ou des données stockées contre l’interception et la lecture par des personnes non autorisées.
- Consentement explicite : tout individu doit donner son consentement explicite, c’est à dire via une déclaration claire écrite ou orale qui ne permet aucune mauvaise interprétation. Cette déclaration doit préciser la nature des données collectées, le type de traitement et ses impacts potentiels, le caractère obligatoire ou facultatif des réponses, ainsi que le détail des données à transférer et les risques liés à ce transfert.
- Déclaration CNIL : Procédure administrative effectuée auprès de la CNIL et autorisant les traitements de données personnelles au sein d’un organisme. Cette procédure est supprimée avec l’application du GDPR/RGPD et est remplacée par un processus dit de « registre ».
- Données à caractère personnel / Données personnelles : Toute information identifiant directement ou indirectement une personne physique (ex : nom, prénom, n° d’immatriculation, n° de téléphone, date de naissance, commune de résidence, empreinte digitale…). Une donnée qui ne permet pas d’identifier directement une personne peut devenir une donnée personnelle si elle est croisée avec une autre donnée. Ce croisement permettant d’identifier une personne, (ex: une description physique croisée avec un poste dans une entreprise) peut permettre d’identifier une personne précise.
- Données sensibles : Information relative à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle. En principe, les données sensibles ne peuvent être recueillies et exploitées qu’avec le consentement explicite des personnes.
- A ne pas confondre avec la notion de sensibilité au sens commun du terme qui permet de mesurer la sensibilité d’une donnée : Ex : salaire d’un collaborateur « lambda » d’une société vs salaire du directeur général de cette même société, ces deux données n’ont pas le même niveau de sensibilité au sens commun du terme, mais ne sont pas des données sensibles au sens juridique du terme.
- Délégué à la Protection des Données (DPD) ou DPO (Data Protection Officer) : Le DPO est le garant du respect de la réglementation au sein de l’entreprise. Parmi ses missions, il doit informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés ; contrôler le respect du règlement, d’autres dispositions en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant ; dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ; coopérer avec l’autorité de contrôle (CNIL) sur les questions relatives au traitement.
- Droit d’accès : Droit des personnes d’obtenir du responsable du traitement : La confirmation que les données à caractère personnel sont ou ne sont pas traitées, Lorsqu’elles sont traitées, l’accès auxdites données à caractère personnel, L’accès aux informations sur les traitements effectués sur ses données personnelles,
- Droit à la limitation des traitements : Droit de limiter le traitement qu’une entité peut faire des données personnelles si le traitement n’est plus justifié.
- Droit à l’oubli/ Droit à l’effacement : Droit d’obtenir du responsable du traitement l’effacement de ses données à caractère personnel.
- Droit d’opposition : Droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel.
- Droit à la portabilité : Droit de recevoir du responsable de traitement dans un format structuré, couramment utilisé et lisible par machine, ses données à caractère personnel et de les transmettre à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées en premier lieu y fasse obstacle.
- Droit à la rectification : Droit d’obtenir du responsable du traitement la rectification de ses données à caractère personnel si inexactes.
- Habilitation : capacité légale à accomplir certaines opérations ou à exercer certains pouvoirs. Dans le cadre du RGPD, il s’agit de donner l’accès aux seules données nécessaires à l’accomplissement de leurs missions, après avoir identifié les responsabilités des utilisateurs. Une revue annuelle des habilitations doit être effectuée afin d’identifier et de supprimer les comptes non utilisés et de réaccorder les droits selon les fonctions de chaque utilisateur.
- Finalité : Objectif principal d’une application informatique de données personnelles. Ex : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc.
- Fichier : Traitement de données qui s’organise dans un ensemble stable et structuré de données. Les données d’un fichier sont accessibles selon des critères déterminés.
- GDPR (General Data Protection Régulation) / RGPD (Règlement Général sur la Protection des données) : Nouveau texte européen sur la protection des données personnelles applicable à compter du 25 mai 2018 et remplaçant et uniformisant l’ensemble des règles applicables dans les états membres de l’Union Européenne sur la protection des données personnelles.
- G29 : Groupe de travail européen indépendant sur la protection des données et de la vie privée rassemblant les représentants de chaque autorité indépendante (équivalent des CNIL locales) de protection des données nationales. Il a pour mission de contribuer à l’élaboration des normes européennes en adoptant des recommandations, avis…
- Loi informatique et libertés : Loi principale française datant du 6 janvier 1978 sur la protection des données personnelles.
- Pays reconnu comme disposant d’un niveau de sécurité adéquat par la Commission Européenne : Pays vers lesquels les transferts de données personnelles sont autorisés : la Suisse, le Canada, Andorre, l’Argentine, les Etats-Unis (pour les sociétés certifiées par le bouclier EU-US relatif à la protection des données ou « Privacy Shield’), Guernesey, l’île de Man, les îles Féroé, Jersey, Israël, la Nouvelle-Zélande et l’Uruguay
- Principe de licéité : les données personnelles ne peuvent être collectées et exploitées que pour un usage donné et légitime, correspondant aux missions du responsable de traitement.
- Principe de minimisation : la collecte et le traitement des données sont limités à la seule finalité du traitement. Il contraint donc les entreprises à retirer toutes les données qui ne sont pas nécessaires à la finalité du traitement et à redéfinir les données indispensables au traitement de chaque applicatif.
- Privacy by design : l’entreprise doit s’assurer de la protection des données dès la conception des produits et services, et tout au long de leur cycle de vie.
- Privacy Shield : Auto-certification UE-US sur la protection des données personnelles permettant le transfert de données personnelles issues des personnes localisées sur le territoire de l’UE vers les entreprises certifiées « Privacy Shield ».
- Profilage : selon le RGPD, le profilage couvre toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
- Pseudonymisation : Traitement de données personnelles de telle façon que celles-ci ne puissent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires.
- Registre interne des traitements de données à caractère personnel : le RGPD contraint toute entreprise à tenir consigner dans un registre l’ensemble des traitements de données à caractère personnel qu’elle met en œuvre. Les informations suivantes doivent être consignées : le nom et les coordonnées des responsables de traitements, co-responsables de traitements, sous-traitants et destinataires intervenant dans le traitement ; les finalités du traitement ; les catégories de personnes concernées et les catégories de données à caractère personnel ; les transferts de données à caractère personnel hors UE ; une description générale des mesures de sécurité techniques et organisationnelles ; dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données.
- Responsable de traitement (Data Controller) : La personne physique ou morale, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.
- Sous-traitant (Data Processor) : La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
- Sous-sous-traitant (Sub-processor) : La personne physique ou morale, l’autorité publique, le service ou l’organisme qui est le sous-traitant du sous-traitant du responsable de traitement.
- Traitement de données à caractère personnel :Toute opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (Ex : accès, collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …).
- Transfert de données : Toute communication, copie, ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne. Un simple accès à des données stockées en France à partir d’un terminal situé en Chine est donc un transfert. Les transferts sont interdits en dehors du territoire de l’UE sauf exception.
- Violation de données : Violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.