ANSSI

Créée en 2009, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle accompagne les administrations, les acteurs économiques et le grand public dans la transition numérique et participe à la protection et à la défense du potentiel économique de la Nation tant au niveau central qu’au niveau local. Elle est également chargée de la promotion des technologies, de systèmes et de savoir-faires nationaux qui contribuent au développement de la confiance dans le numérique en France et en Europe.

CNIL

Instaurée par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur de l’utilisation des données personnelles. Cette autorité administrative indépendante a vocation à s’assurer de la protection et de la bonne gestion des données à caractère personnel en accompagnant les entreprises ainsi que les particuliers dans l’utilisation des nouvelles technologies. Site de la CNIL, cliquez ici.

CYBER-ABREVIATIONS

  • ANSSI = Agence Nationale de la Sécurité des Systèmes d’Information
  • BIA = Bilan d’Impact sur les Activités
  • BOT = Diminutif de robot
  • BYOD = Bring Your Own Device
  • CA = Continuité d’Activité
  • CLUSIF = Club de la Sécurité des Systèmes d’Information Français
  • CNIL = Commission Nationale de l’Informatique et des Libertés
  • CCO = Cellule de Crise Opérationnelle
  • CDD = Cellule de Crise Décisionnelle
  • DCSSI = Direction Centrale de la Sécurité des Systèmes d'Information
  • DMIA = Délai d’Interruption Admissible
  • DOS = Denial of service (Dénis de service)
  • DSI = Directeur des Systèmes d’Information
  • EBCA = Expression de Besoins de Continuité d’Activité
  • EBIOS = Expression des Besoins et Identification des Objectifs de Sécurité
  • GC = Gestion de crise
  • IDS = Intrusion Detection System (Sonde de détection d’intrusion)
  • IPS = Intrusion Prevention System (Sonde de prévention d’intrusion)
  • MCA = Management de la Continuité
  • MCO = Maintien en Conditions opérationnelles
  • MEHARI = Méthode Harmonisée d'Analyse de Risques
  • PCA = Plan de Continuité d’Activité
  • PCI DSS = Standard de sécurité des données pour l’industrie des cartes de paiement
  • PDMA = Perte de Données Maxi Admissible
  • PKI = Public Key Infrastructure
  • PRA = Plan de Reprise d’Activité
  • PCI DSS = Payment Card Industry Data Security Standard
  • PRN = Plan de Retour à la Normale
  • PRU = Plan de Repli Utilisateurs
  • PSI = Plan de secours Informatique
  • RPO = Recovery Point Objective (durée maximum d’enregistrement des données qu’il est acceptable de perdre lors d’une panne)
  • RGPD ou RDPG = Règlement européen sur la protection des données
  • RSSI = Responsable de la Sécurité des Systèmes d’Information
  • RTO = Recovery Time Objective (durée maximum d’interruption admissible)
  • SIEM = Security Information and Event Management
  • SPAM = Courier indésirable
  • SPOF = Single Point of Failure
  • SSI = Sécurité des Systèmes d’Information
  • SSO = Single Sign On

CYBER-DEFINITIONS

  • Audit de conformité : l’audit de conformité consiste à réaliser un état des lieux du système d’information par rapports aux normes, standards et réglementations de sécurité.
  • Audit de vulnérabilité : l’audit de vulnérabilité consiste à rechercher l’ensemble des vulnérabilités du système d’information (réseau, Web, etc.).
  • Cartographie des risques : la cartographie des risques permet d’analyser et de mesurer les risques liés à une ou plusieurs activités.
  • Cloud computing : le cloud computing ou cloud correspond à la mise à disposition (à la demande ou en libre-service) de ressources informatiques partagées et configurables via un réseau de télécommunication.
  • Cyber-risques : les cyber-risques correspondent à l’ensemble des menaces numériques pouvant porter atteinte à l’intégrité d’une organisation et/ou d’un système d’information.
  • Cyber-extorsion : la forme la plus répandue de cyber-extorsion consiste à demander une rançon contre la remise d’une clé permettant le décryptage des données.
  • Dénis de service : le dénis de service est une cyber-attaque visant à empêcher un serveur ou un réseau de serveurs de fonctionner.
  • Evaluation des risques : l’évaluation des risques correspond à l’ensemble des méthodologies permettant de mesurer la criticité d’un risque sur l’activité d’une entreprise.
  • Forensique : une analyse forensique correspond à une analyse du système informatique après un incident.
  • Gestion de crise : la gestion de crise correspond à l’ensemble des moyens organisationnels et techniques mis en oeuvre par une organisation pour se préparer et faire face à une situation de crise majeure.
  • Gestion de risques : la gestion de risques est une démarche et/ou un processus qui consiste à identifier les risques qui pèsent sur une entreprise en vue de les réduire.
  • Hébergement : l’hébergement permet de constituer un système d’information miroir avec l’entreprise en vue de prendre le relai en cas de panne système, d’incendie, d’interruption de services,….
  • Menace : la menace correspond à une intention affichée ou non d’une personne physique ou morale d’infliger des dommages matériels et/ou humains à une organisation et/ou à un groupe de personnes.
  • Méthode EBIOS : EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les risques d'un système d’information et de proposer une politique de sécurité adaptée aux besoins de l’entreprise. Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), du Ministère de la Défense.
  • Méthode MEHARI : Mehari (Méthode Harmonisée d'Analyse de Risques) est développée par le CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion.
  • Norme Iso 19001: la norme Iso 19001 regroupe les lignes directrices pour l’audit des systèmes de management.
  • Norme ISO/CEI 27002 : la norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information.
  • Norme ISO/CEI 27005 : la norme ISO 27005 explique comment conduire l'appréciation des risques et le traitement des risques dans le cadre de la sécurité de l'information. La norme ISO 27005 propose une méthodologie de gestion des risques en matière d'information dans l'entreprise conforme à la norme ISO/CEI 27001.
  • Pharming (ou dévoiement en français) : le pharming est une technique de piratage informatique exploitant des vulnérabilités DNS.
  • Phishing : le phishing ou l’hameçonnage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but d’usurper une identité.
  • Plan d’assurance : le plan d’assurance correspond aux polices d’assurance souscrites par une entreprise afin de se prémunir des conséquences d’un sinistre avéré.
  • Plan de continuité d’activité : le plan de continuité ou le plan de continuité d’activité est un document stratégique dans lequel est formalisé l’ensemble des procédures et actions à mettre en oeuvre en cas de sinistres graves ou de crise majeure. Son objectif principal est de réduire les impacts d’une crise ou d’une catastrophe sur l’activité d’une entreprise ou d’un groupe.
  • Risque : le risque c’est la combinaison de la probabilité d’occurrence d’un évènement et de ses conséquences. Le risque peut être potentiel, avéré, émergent ou futur.
  • Sinistre : un sinistre est un dommage entraînant des pertes matérielles et/ou humaines. Il peut être causé par une catastrophe naturelle, un accident industriel, un incendie, etc…
  • Sinistre Informatique : un sinistre informatique correspond au conséquences d’une cyber-attaque réussie sur une système d’information entraînant des pertes importantes.
  • Simulation de crise : la simulation de crise est un moyen de tester un dispositif de crise en organisant des exercices proches de la réalité.
  • Test de déni de service : le test de déni de service permet d'évaluer le niveau de résistance d'une application, d'une infrastructure ou d'un serveur face aux attaques de type DoS et DDoS (Déni de service distribué) mais aussi d'évaluer la gestion de ce type d'incident par les personnes en charge des systèmes ciblés.
  • Test d’intrusion : le test d’intrusion a pour objectif d'évaluer l'impact que pourrait avoir un attaquant sur le système d'information. Il existe plusieurs types de test d’intrusion : le test d’intrusion interne (« test du stagiaire »), le test d’intrusion externe (test à partir d’une connexion informatique), le test d’intrusion téléphonique, le test d’intrusion physique, le test d’intrusion sans fil.
  • Test de robustesse : le test de robustesse consiste à évaluer le niveau de sécurité d'un élément informatique face à un éventuel attaquant ayant un accès physique à celui-ci.
  • Ver informatique : un ver informatique est un virus réseau capable de se propager et de se dupliquer par ses propres moyens. Il n’a pas besoin de support physique ou logique pour se déplacer (disque dur, programme hôte,…).
  • Violation de données : une violation de données est un incident de sécurité au cours duquel des données sensibles, protégées ou confidentielles sont copiées, transmises, consultées, volées ou utilisées par une personne qui n’y est pas autorisée. La violation de données peut impliquer des données personnelles, bancaires, financières, médicales, commerciales, …
  • Virus informatique : un virus informatique est programme d’ordinateur conçu pour se propager à d’autres programmes d’ordinateurs en les modifiant afin qu’ils puissent se reproduire à leur tour.
  • Vulnérabilité : la vulnérabilité est une appréciation de la capacité d’un système et/ou d’une organisation à faire face au(x) risque(s) pouvant remettre en cause la pérennité d’une activité.

LÉGISLATION

Art 323-1 à 323-7 du Code Pénal : Les atteintes aux systèmes de traitement automatisé de données (accès ou maintien frauduleux, entrave au fonctionnement, détention de matériel ou logiciel spécifique, groupement formé ou entente établie). 
Art 226-16 à 226-20 du Code Pénal : Les infractions à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (collecte frauduleuse, traitement de données à caractère personnel, usurpation d’identité numérique).
Art. L163-3 à L163-12 du Code Monétaire et Financier : Les infractions aux cartes bancaires (contrefaçon, falsification de moyens de paiement, détention de matériel ou logiciel spécifique). 
Art. 434-15-2 du Code Pénal : Les infractions au chiffrement (refus de remettre une clé de déchiffrement ou de la mettre en œuvre). 
Art. 226-1 à 226-4 du Code Pénal : Violation de la vie privée par captation à l’aide d’un dispositif technique, divulgation publique d’un enregistrement de la vie privée, conception, importation, location, détention, offre, d’outils de captation de la vie privée et des correspondance

Top