Glossaire cybersécurité

Discipline et chaîne d'outillage qui maintient la sécurité de l'application elle-même tout au long du cycle de développement — revue de code, SAST, DAST, SCA, détection de secrets, modélisation des menaces, hygiène des dépendances et durcissement à l'exécution.

Test de sécurité en boîte noire qui sonde une application en cours d'exécution depuis l'extérieur — en exerçant les endpoints HTTP, les formulaires et les API pour faire émerger les vulnérabilités qui n'apparaissent qu'à l'exécution du code.

Outils qui découvrent en continu les données sensibles à travers le cloud et les SaaS, les classifient, cartographient les chemins d'accès et signalent les expositions — une couche de posture au-dessus du DLP, centrée sur où sont les données plutôt que sur ce qui franchit le périmètre.

Agent installé sur chaque endpoint qui enregistre en continu l'activité processus, fichier, réseau et identité, détecte les comportements malveillants, et permet aux répondants de contenir ou de revenir en arrière depuis une console centrale.

Analyse du code source qui inspecte une application sans l'exécuter — à la recherche de motifs d'injection, de désérialisation non sûre, de secrets en dur et d'autres faiblesses au niveau du code, intégrée au cycle de développement.

Plateforme qui ingère, normalise et corrèle les logs de sécurité de tout le parc, puis alerte sur les motifs correspondant à des comportements d'attaque connus — la couche centrale de logs et de détection du SOC.

Plateforme qui transforme les détections SIEM et les autres signaux de sécurité en playbooks automatisés — ouverture de tickets, isolation de comptes, réinitialisation MFA, collecte de preuves — pour que les analystes consacrent le temps de tri aux cas qui nécessitent réellement des humains.

Successeur de l'EDR qui corrèle la télémétrie endpoint, identité, e-mail, réseau et cloud dans une seule plateforme de détection et réponse — conçu pour faire émerger des chaînes d'attaque qu'aucun capteur isolé n'attraperait.

Modèle de sécurité qui considère chaque requête comme non fiable par défaut — pas de périmètre réseau implicite, chaque décision d'accès est vérifiée par session sur l'identité, la posture de l'appareil et le contexte.

Certification française, délivrée par l'ANS, obligatoire pour toute organisation qui héberge des données de santé pour le compte d'un responsable de traitement français.

Loi fédérale américaine sur les données de santé protégées — la Security Rule impose explicitement un programme de sensibilisation et de formation du personnel.

Norme internationale pour un Système de Management de la Sécurité de l'Information (SMSI) — le repère mondial de la certification sécurité.

Norme de sécurité des données de cartes bancaires maintenue par le PCI Security Standards Council — l'exigence 12.6 impose un programme formel de sensibilisation.

Cadre d'attestation AICPA fondé sur cinq Trust Services Criteria — devenu le passage obligé pour vendre une SaaS B2B en Amérique du Nord.

Autorité nationale française de cybersécurité — publie les guides, certifications (SecNumCloud, CSPN) et posture de réponse à incident sur lesquels les organisations s'alignent.

Le California Consumer Privacy Act (CCPA, 2018) et son amendement le California Privacy Rights Act (CPRA, 2020) — la loi de protection des données la plus exigeante des États américains, proche du RGPD dans l'esprit, appliquée depuis 2023 par la California Privacy Protection Agency et opposable à toute entreprise dans le monde franchissant les seuils tout en traitant des données de résidents californiens.

Loi fédérale américaine (2018) obligeant les fournisseurs cloud dont la maison mère est aux États-Unis à transmettre les données clients sur réquisition légale américaine — peu importe où elles sont physiquement stockées — ce qui entre en conflit avec le droit européen pour les clients européens.

Autorité française indépendante de protection des données — fait appliquer le RGPD, déclenche le délai de 72 h de notification et publie des doctrines opposables.

Règlement UE 2022/2554 rendant la résilience opérationnelle numérique — facteur humain compris — directement contraignante pour les entités financières depuis le 17 janvier 2025.

Deux référentiels de sécurité qui se recouvrent largement mais sont structurellement différents — ISO 27001 est une certification internationale de votre système de management de la sécurité de l'information ; SOC 2 est un rapport d'attestation américain sur le bon fonctionnement de vos contrôles vis-à-vis des Trust Services Criteria de l'AICPA sur une période donnée.

Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.

Deux textes européens de cybersécurité de 2022 qui se recouvrent dans l'esprit mais s'appliquent différemment — NIS2 est une directive horizontale couvrant 18 secteurs critiques (transposée nationalement, avec des variations entre États membres), DORA est un règlement sectoriel directement opposable aux entités financières et à leurs prestataires TIC ; pour une banque ou un assureur, DORA est lex specialis et l'emporte sur les sujets TIC.

Politique de Sécurité des Systèmes d'Information — document maître de sécurité d'une organisation, formalisé selon la méthode PSSI-E publiée par l'ANSSI.

Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.

Référentiel de qualification ANSSI pour les fournisseurs cloud de confiance — démontrant à la fois la sécurité technique et l'immunité aux lois extraterritoriales non européennes (notamment le CLOUD Act américain), exigé pour les charges cloud du secteur public et des infrastructures critiques en France.

Écart documenté entre ce que les collaborateurs savent en matière de cybersécurité et ce qu'ils font réellement au moment de la décision.

Catégorie historique de modules e-learning annuels et de tests de phishing par taux de clic, que la gestion du risque humain est en train de remplacer.

Catégorie définie par Gartner qui remplace la formation à la sensibilisation par des contrôles comportementaux, mesurables et déclenchés au moment du risque.

Indicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.

Lecture pré-intervention de ce que font réellement les collaborateurs dans le SaaS, l'identité et la messagerie — référence pour mesurer tout changement de comportement ultérieur.

Artefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.

Schéma d'authentification exigeant au moins deux facteurs indépendants — ce que l'on sait, possède ou est — pour vérifier un utilisateur et renchérir le vol d'identifiants.

Attaque automatisée qui rejoue des paires identifiant/mot de passe issues de fuites tierces contre des services sans rapport, exploitant la réutilisation pour prendre le contrôle de comptes à grande échelle.

Standards d'authentification ouverts s'appuyant sur la cryptographie asymétrique liée au terminal pour offrir une connexion résistante au phishing — la réponse pratique à la fatigue MFA et au phishing adversary-in-the-middle.

Pratique consistant à utiliser le même mot de passe — ou des variantes quasi identiques — sur plusieurs services, transformant une fuite isolée en compromission multi-comptes par credential stuffing.

Architecture d'authentification où un fournisseur d'identité unique émet les jetons donnant accès à de multiples applications, réduisant la surface d'identifiants mais concentrant le rayon d'impact.

Fraude ciblée par usurpation de dirigeant, fournisseur ou avocat pour détourner un paiement légitime — historiquement la catégorie de cybercrime la plus coûteuse en valeur.

Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.

Manipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.

Attaque qui amène l'utilisateur à accorder à une application tierce malveillante un accès OAuth persistant à sa messagerie, ses fichiers ou son workspace — contournant entièrement le MFA.

Phishing dont le lien malveillant est délivré sous forme de QR code plutôt que de texte, déplaçant le clic d'un poste géré vers un smartphone personnel non géré.

Attaque de phishing ciblée sur une personne ou un petit groupe, exploitant l'OSINT public pour atteindre une crédibilité que le phishing de masse n'a pas.

Phishing acheminé par appel vocal — de plus en plus combiné à un prétexte e-mail et, depuis 2023, à des voix de dirigeants ou collègues clonées par IA.

Intrusion qui compromet un fournisseur amont de confiance — logiciel, SaaS, MSP — pour atteindre toutes les organisations clientes en aval.

Utilisation d'une voix — voire d'une vidéo — synthétique générée par IA pour usurper un dirigeant ou collègue lors d'une tentative de fraude.

Attaque d'ingénierie sociale qui sature un utilisateur de notifications push MFA jusqu'à ce qu'il valide par lassitude ou confusion.

Attaque contre une application LLM qui glisse des instructions de l'attaquant dans le contexte du modèle, le poussant à agir contre l'intention de l'opérateur.

Logiciel malveillant qui chiffre et/ou exfiltre des données, puis exige un paiement pour le déchiffrement ou la non-publication — l'entrée est presque toujours humaine.

Modèle d'affaires cybercriminel où des opérateurs louent leur rançongiciel, leur infrastructure et leurs sites de fuite à des affiliés contre un pourcentage des rançons.

Petite intervention contextuelle qui oriente une personne vers le choix le plus sûr sans restreindre sa liberté — l'unité de travail de la cybersécurité comportementale.

Découverte d'Ebbinghaus en 1885 : l'information apprise décroît exponentiellement — la raison pour laquelle la formation annuelle échoue.

Rôle obligatoire au sens du RGPD, chargé de contrôler la conformité de l'organisation au droit européen de la protection des données et d'être le contact de l'autorité de contrôle.

« Quand une mesure devient une cible, elle cesse d'être une bonne mesure » — le piège du taux de clic comme KPI de sécurité.

Unités d'apprentissage courtes — 30 secondes à 3 minutes — qui tiennent dans la journée de travail et survivent à la courbe de l'oubli.

Méthode d'apprentissage qui réactive le contenu à intervalles croissants pour contrer la courbe de l'oubli.

Dirigeant responsable de la stratégie de sécurité de l'information, de la posture de risque et de l'exposition réglementaire — équivalent du CISO anglo-saxon.

Calendrier SaaS — Google Calendar ou Microsoft 365 le plus souvent — dont la visibilité fuite titres, participants, lieux ou liens de réunion vers tout le domaine ou l'internet public.

Couche d'application des politiques entre les utilisateurs et les SaaS, qui inspecte le trafic et bloque les actions interdites — le modèle « gardien » de la sécurité SaaS.

Compte externe — ancien prestataire, ex-fournisseur, partenaire d'un projet clos — qui conserve l'accès à un workspace, un fichier ou un canal SaaS des mois ou des années après la fin du travail.

Ensemble de technologies qui inspectent les données au repos, en transit ou en usage pour empêcher l'exfiltration d'informations sensibles hors des frontières autorisées.

Jeton d'accès qu'un utilisateur délivre à une application tierce via OAuth, donnant à cette application un droit permanent de lire ou écrire dans un SaaS — souvent au-delà du MFA, souvent à vie.

Partage d'un fichier ou d'un dossier SaaS via une option « toute personne disposant du lien » qui contourne l'authentification — la fuite silencieuse la plus fréquente dans Drive, SharePoint, Dropbox, Notion.

Logiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.