Glossaire

Glossaire cybersécurité, ISO 27001, NIS2 & GRC

100 définitions claires et vérifiées des termes clés de la cybersécurité, de la gouvernance, de la conformité et de la gestion des risques. Une ressource de référence par NagaShield Security.

Gouvernance & cybersécurité

Cybersécurité: Ensemble des moyens techniques, organisationnels et humains visant à protéger les systèmes d'information contre les cyberattaques et à préserver la confidentialité, l'intégrité et la disponibilité des données.
RSSI: Responsable de la Sécurité des Systèmes d'Information : dirigeant en charge de définir et piloter la stratégie de cybersécurité d'une organisation.
RSSI externalisé (vCISO): RSSI mis à disposition à temps partagé par un prestataire externe, qui pilote la gouvernance cybersécurité sans occuper un poste interne à temps plein. Adapté aux PME, ETI et startups.
Triade CID (CIA): Trois propriétés fondamentales de la sécurité de l'information : Confidentialité (accès réservé aux personnes autorisées), Intégrité (données exactes et non altérées) et Disponibilité (accès quand nécessaire).
PSSI: Politique de Sécurité des Systèmes d'Information : document cadre qui fixe les règles, responsabilités et objectifs de sécurité d'une organisation.
Surface d'attaque: Ensemble des points par lesquels un attaquant peut tenter d'entrer ou d'extraire des données d'un système. Réduire la surface d'attaque est un objectif clé du durcissement.
Défense en profondeur: Stratégie de sécurité reposant sur la superposition de plusieurs couches de protection indépendantes, de sorte que la défaillance d'une couche n'expose pas l'ensemble du système.
Zero Trust: Modèle de sécurité fondé sur le principe « ne jamais faire confiance, toujours vérifier » : chaque accès est authentifié et autorisé, qu'il provienne de l'intérieur ou de l'extérieur du réseau.
ANSSI: Agence nationale de la sécurité des systèmes d'information : autorité française en charge de la cybersécurité, qui publie guides, référentiels et recommandations.
SOC: Security Operations Center : équipe et plateforme assurant la surveillance, la détection et la réponse aux incidents de sécurité en continu.
SIEM: Security Information and Event Management : solution qui collecte et corrèle les journaux (logs) de multiples sources pour détecter les incidents de sécurité.
EDR: Endpoint Detection and Response : solution de détection et de réponse aux menaces au niveau des postes et serveurs (endpoints).
MFA: Multi-Factor Authentication (authentification multifacteur) : mécanisme exigeant au moins deux preuves d'identité distinctes pour se connecter, réduisant fortement le risque de compromission de compte.
IAM: Identity and Access Management : gestion des identités et des accès, garantissant que chaque utilisateur dispose des droits appropriés (principe du moindre privilège).
PAM: Privileged Access Management : gestion et sécurisation des comptes à privilèges (administrateurs), cibles prioritaires des attaquants.
Phishing: Hameçonnage : technique d'attaque consistant à usurper l'identité d'un tiers de confiance pour inciter une victime à divulguer des informations ou à exécuter une action malveillante.
Ransomware: Rançongiciel : logiciel malveillant qui chiffre les données d'une victime et exige une rançon pour les déchiffrer. Première menace pour les entreprises.
Pentest: Test d'intrusion : simulation d'attaque autorisée visant à évaluer concrètement la robustesse des défenses et à démontrer l'impact réel des failles exploitables.
CVE: Common Vulnerabilities and Exposures : identifiant standardisé attribué à une vulnérabilité de sécurité publiquement connue.
CVSS: Common Vulnerability Scoring System : système de notation de la criticité d'une vulnérabilité sur une échelle de 0 à 10.

ISO 27001 & SMSI

ISO/IEC 27001: Norme internationale de référence définissant les exigences d'un Système de Management de la Sécurité de l'Information (SMSI). La version en vigueur est l'ISO/IEC 27001:2022.
SMSI (ISMS): Système de Management de la Sécurité de l'Information : cadre organisationnel d'amélioration continue pour gérer les risques de sécurité, au cœur de l'ISO 27001.
ISO/IEC 27002: Norme complémentaire à l'ISO 27001 fournissant un guide de bonnes pratiques pour la mise en œuvre des mesures de sécurité (contrôles).
Annexe A: Liste des mesures de sécurité de l'ISO 27001 : 93 mesures (version 2022) réparties en 4 thèmes — organisationnel, humain, physique et technologique.
Déclaration d'Applicabilité (SoA): Document listant les mesures de l'Annexe A retenues ou exclues, avec justification. Pièce maîtresse de l'audit ISO 27001.
Analyse de risques: Processus d'identification, d'évaluation et de priorisation des risques pesant sur les actifs informationnels, exigé par l'ISO 27001.
Plan de traitement des risques: Document définissant comment chaque risque identifié sera traité : réduit, transféré, évité ou accepté.
Risque résiduel: Niveau de risque subsistant après l'application des mesures de sécurité, devant être formellement accepté par la direction.
Audit de certification: Audit en deux étapes (revue documentaire puis audit sur site) mené par un organisme accrédité pour délivrer la certification ISO 27001, valable 3 ans.
Audit de surveillance: Audit annuel réalisé après la certification pour vérifier le maintien et l'efficacité du SMSI.
Non-conformité: Écart constaté entre une exigence (norme, politique) et la situation réelle. Une non-conformité majeure peut bloquer la certification.
PDCA: Plan-Do-Check-Act (Roue de Deming) : cycle d'amélioration continue qui structure le fonctionnement d'un SMSI ISO 27001.

NIS2 & réglementaire

NIS2: Directive européenne (UE 2022/2555) renforçant et élargissant les exigences de cybersécurité pour les organisations de 18 secteurs critiques. Succède à la directive NIS.
Entité essentielle: Catégorie NIS2 regroupant les organisations des secteurs hautement critiques, soumises à une supervision proactive des autorités.
Entité importante: Catégorie NIS2 soumise à une supervision réactive (déclenchée par un incident ou un signalement), avec des obligations similaires aux entités essentielles.
Notification d'incident: Obligation NIS2 de signaler un incident significatif à l'autorité compétente : alerte précoce sous 24h, notification complète sous 72h, rapport final sous un mois.
Sécurité de la chaîne d'approvisionnement: Obligation de maîtriser les risques cyber liés aux fournisseurs et sous-traitants, exigence renforcée par NIS2.
RGPD: Règlement Général sur la Protection des Données (UE 2016/679) : encadre le traitement des données personnelles des résidents de l'UE.
AIPD (DPIA): Analyse d'Impact relative à la Protection des Données : évaluation obligatoire pour les traitements présentant un risque élevé pour les droits des personnes.
DPO: Data Protection Officer (Délégué à la Protection des Données) : personne chargée de veiller à la conformité RGPD d'une organisation.
DORA: Digital Operational Resilience Act : règlement européen sur la résilience opérationnelle numérique du secteur financier.

GRC & gestion des risques

GRC: Governance, Risk, Compliance : approche intégrée alignant la gouvernance, la gestion des risques et la conformité pour piloter la sécurité comme un levier stratégique.
Gouvernance: Ensemble des processus de décision, de responsabilité et de pilotage définissant qui décide quoi et comment en matière de sécurité.
Gestion des risques: Processus continu d'identification, d'évaluation, de traitement et de suivi des risques pesant sur l'organisation.
EBIOS Risk Manager: Méthode française d'analyse et de gestion des risques numériques publiée par l'ANSSI, fondée sur une approche par scénarios de menace.
Appétence au risque: Niveau de risque qu'une organisation est prête à accepter pour atteindre ses objectifs.
Conformité (Compliance): Respect des obligations légales, réglementaires et contractuelles applicables (RGPD, NIS2, ISO 27001, exigences sectorielles).
KPI / KRI: Key Performance Indicator et Key Risk Indicator : indicateurs de pilotage de la performance et du risque de sécurité, présentés à la direction.
PCA / PRA: Plan de Continuité d'Activité et Plan de Reprise d'Activité : dispositifs garantissant la poursuite ou la reprise des activités critiques après un incident majeur.
Réponse à incident: Ensemble des procédures de détection, d'analyse, de confinement, d'éradication et de reprise face à un incident de sécurité.
Cartographie des actifs: Inventaire structuré des actifs informationnels (données, systèmes, accès) classés par criticité — point de départ de toute analyse de risques.
Sensibilisation: Actions visant à développer la vigilance et les bons réflexes des collaborateurs face aux cybermenaces, l'humain restant un facteur de risque majeur.
Cyber-assurance: Contrat d'assurance couvrant tout ou partie des conséquences financières d'un incident cyber, dont la souscription exige souvent un niveau de maturité minimal.

Menaces & attaques

Malware: Logiciel malveillant : terme générique désignant tout programme conçu pour nuire (virus, ver, cheval de Troie, ransomware, spyware).
Cheval de Troie: Programme malveillant déguisé en logiciel légitime pour inciter la victime à l'exécuter, ouvrant ensuite une porte à l'attaquant.
Spyware: Logiciel espion qui collecte des informations sur un utilisateur ou une organisation à son insu.
DDoS: Attaque par déni de service distribué : saturation d'un service par un volume massif de requêtes pour le rendre indisponible.
Brute force: Attaque consistant à essayer systématiquement de nombreuses combinaisons de mots de passe jusqu'à trouver la bonne.
Credential stuffing: Réutilisation automatisée d'identifiants volés (fuites de données) pour se connecter à d'autres services où la victime a réutilisé son mot de passe.
Injection SQL: Faille permettant d'injecter des commandes SQL malveillantes via une entrée non filtrée, pour lire ou altérer une base de données.
XSS: Cross-Site Scripting : injection de code malveillant (souvent JavaScript) dans une page web, exécuté dans le navigateur d'autres utilisateurs.
Zero-day: Vulnérabilité inconnue de l'éditeur et sans correctif disponible, donc particulièrement dangereuse lorsqu'elle est exploitée.
Attaque de la chaîne d'approvisionnement: Compromission d'un fournisseur ou d'un composant logiciel de confiance pour atteindre indirectement ses clients.
Ingénierie sociale: Manipulation psychologique d'une personne pour la pousser à divulguer des informations ou à agir contre la sécurité.
Man-in-the-Middle (MITM): Attaque où l'adversaire s'interpose dans une communication pour l'intercepter ou l'altérer à l'insu des parties.

Cloud & infrastructure

Cloud Security: Ensemble des pratiques et contrôles protégeant les données, applications et infrastructures hébergées dans le cloud (AWS, Azure, GCP).
IaaS / PaaS / SaaS: Trois modèles de services cloud : Infrastructure, Plateforme et Logiciel as a Service, avec un niveau de gestion décroissant côté client.
Modèle de responsabilité partagée: Principe cloud répartissant les responsabilités de sécurité entre le fournisseur (sécurité du cloud) et le client (sécurité dans le cloud).
CSPM: Cloud Security Posture Management : outils détectant les mauvaises configurations et non-conformités des environnements cloud.
CASB: Cloud Access Security Broker : intermédiaire appliquant les politiques de sécurité entre les utilisateurs et les services cloud.
Conteneur / Docker: Unité logicielle isolée empaquetant une application et ses dépendances ; Docker en est l'implémentation la plus répandue.
Kubernetes: Plateforme d'orchestration de conteneurs à grande échelle, dont la sécurisation (RBAC, secrets, réseau) est un enjeu clé.
WAF: Web Application Firewall : pare-feu filtrant le trafic HTTP pour bloquer les attaques web (injection, XSS, etc.).
Segmentation réseau: Découpage d'un réseau en zones isolées pour limiter la propagation d'une attaque et appliquer le moindre privilège.
Gestion des correctifs: Processus de déploiement régulier des mises à jour de sécurité pour corriger les vulnérabilités connues.

Cryptographie & protection des données

Chiffrement: Transformation de données en un format illisible sans la clé de déchiffrement, garantissant leur confidentialité.
Chiffrement de bout en bout: Chiffrement où seuls l'expéditeur et le destinataire peuvent lire le message ; même le fournisseur du service n'y a pas accès.
TLS / SSL: Protocoles chiffrant les communications réseau (HTTPS). TLS est la version moderne et sécurisée ; SSL est obsolète.
Hachage: Transformation irréversible d'une donnée en une empreinte de taille fixe, utilisée notamment pour stocker les mots de passe.
PKI: Public Key Infrastructure : ensemble de composants gérant les clés et certificats numériques pour authentifier et chiffrer.
Pseudonymisation: Traitement des données personnelles de façon à ne plus pouvoir les attribuer à une personne sans information supplémentaire (notion RGPD).
Anonymisation: Traitement rendant impossible la ré-identification d'une personne ; les données anonymisées sortent du champ du RGPD.
DLP: Data Loss Prevention : technologies empêchant la fuite ou l'exfiltration de données sensibles hors de l'organisation.
Sauvegarde (règle 3-2-1): Bonne pratique de sauvegarde : 3 copies des données, sur 2 supports différents, dont 1 hors site, pour résister aux pannes et ransomwares.

Détection & réponse

XDR: Extended Detection and Response : approche unifiant la détection et la réponse sur les endpoints, le réseau, le cloud et la messagerie.
SOAR: Security Orchestration, Automation and Response : automatisation des réponses aux incidents via des playbooks.
Threat Intelligence: Renseignement sur les menaces : collecte et analyse d'informations sur les attaquants, leurs techniques et indicateurs.
IOC: Indicator of Compromise : élément technique (IP, hash, domaine) signalant une compromission potentielle.
Threat Hunting: Recherche proactive de menaces déjà présentes dans le système d'information, au-delà des alertes automatiques.
MITRE ATT&CK: Base de connaissances mondiale référençant les tactiques et techniques des attaquants, utilisée pour la détection et le red team.
Forensics: Investigation numérique : collecte et analyse de preuves après un incident pour comprendre son déroulement et son impact.
Honeypot: Leurre volontairement exposé pour attirer les attaquants, détecter leurs techniques et les détourner des actifs réels.

Conformité sectorielle & contrôles

SOC 2: Référentiel d'audit américain (AICPA) attestant la maîtrise des contrôles de sécurité d'un prestataire de services (souvent SaaS).
PCI DSS: Norme de sécurité des données pour les organisations traitant des données de cartes bancaires.
HDS: Hébergeur de Données de Santé : certification française obligatoire pour héberger des données de santé à caractère personnel.
Moindre privilège: Principe accordant à chaque utilisateur ou système uniquement les droits strictement nécessaires à sa fonction.
Séparation des tâches: Répartition des responsabilités entre plusieurs personnes pour éviter qu'un seul acteur puisse commettre et dissimuler une fraude.
Security by Design: Intégration de la sécurité dès la conception d'un produit ou système, plutôt qu'ajoutée a posteriori.
Gestion des vulnérabilités: Processus continu d'identification, d'évaluation, de priorisation et de correction des vulnérabilités du système d'information.
Durcissement (Hardening): Configuration sécurisée d'un système pour réduire sa surface d'attaque (désactivation de services, comptes, ports inutiles).

Besoin d'aller plus loin ?

Ces concepts structurent toute démarche de cybersécurité et de conformité. NagaShield Security accompagne les PME, ETI, startups et SaaS sur la mise en pratique : ISO 27001, NIS2, RSSI externalisé, audit et pentest.

Certification ISO 27001 Conformité NIS2 RSSI externalisé

Une question sur votre cybersécurité ?

Échangeons sur vos enjeux de conformité et de sécurité. Premier échange gratuit, sans engagement.

Nous contacter