Dès que l’on parle de cybersécurité, difficile d’échapper au jargon et aux termes techniques complexes. Pour faciliter vos échanges et vos prises de décision, L’observatoire de la Tech a regroupé ici les définitions essentielles, expliquées simplement.
Ce lexique fait partie de notre centre de ressources thématiques :
- Glossaire Infrastructures & Cloud : Pour décoder les enjeux de vos socles techniques.
- Glossaire Réseaux & Télécoms : Les fondamentaux de la connectivité et des architectures réseau.
- Glossaire Intelligence Artificielle : comprendre les concepts, usages et enjeux de l’IA en entreprise
- Glossaire Workplace : Pour clarifier les outils et équipements du travail collaboratif.
- Glossaire MSP : Les indicateurs et outils d’un fournisseur de services managés.
- Glossaire Écosystème IT : Pour parler le même langage que les acteurs du marché
Air Gap
L’Air Gap consiste à isoler physiquement un système du reste du réseau et d’Internet. Cette séparation limite fortement les risques d’intrusion à distance. Elle est utilisée pour protéger des environnements critiques ou sensibles.
ANSII
L’ANSSI est l’autorité française en charge de la cybersécurité et de la protection des systèmes d’information de l’État et des opérateurs critiques. Elle publie des recommandations, délivre des labels de sécurité (comme SecNumCloud) et intervient en cas d’incident majeur. Elle joue un rôle central dans la mise en œuvre des réglementations comme NIS 2 en France.
Référence officielle : site de l’ANSSI.
CERT (Computer Emergency Response Team)
Un CERT est une équipe spécialisée dans la gestion des incidents de cybersécurité. Elle analyse les attaques, coordonne les réponses techniques et diffuse des alertes ou recommandations aux organisations concernées. Les CERT peuvent être nationaux (comme le CERT-FR), sectoriels ou propres à une grande entreprise.
Référence officielle : CERT-FR (ANSSI).
Chiffrement de bout en bout
Le chiffrement de bout en bout garantit que seules les personnes qui communiquent peuvent lire le contenu échangé. Les données sont chiffrées sur l’appareil de l’expéditeur et déchiffrées uniquement par le destinataire. Même le fournisseur du service ne peut accéder au contenu.
COMCYBER-MI (Commandement du ministère de l’Intérieur dans le cyberespace)
Le COMCYBER-MI est l’entité du ministère de l’Intérieur chargée de coordonner les actions de cybersécurité relevant de ses services (police, gendarmerie, sécurité civile). Il pilote la prévention, la réponse opérationnelle et la coopération nationale en matière de cybercriminalité et de protection des systèmes sensibles. Il participe au dispositif français de gestion de crise cyber aux côtés de l’ANSSI et d’autres autorités.
Référence officielle : ministère de l’Intérieur – COMCYBER-MI.
Cryptographie quantique
La cryptographie quantique utilise les propriétés de la physique quantique pour sécuriser les échanges. Elle permet notamment de détecter toute tentative d’interception d’une clé de chiffrement. Elle est encore émergente et principalement déployée dans des contextes expérimentaux ou stratégiques.
Cybermalveillance.gouv.fr
Cybermalveillance.gouv.fr est un dispositif public français d’assistance aux victimes d’actes de cybermalveillance. Il propose des outils de diagnostic en ligne, des fiches pratiques et oriente particuliers, entreprises et collectivités vers des prestataires référencés. Il joue un rôle de prévention et de sensibilisation complémentaire aux autorités comme l’ANSSI.
Référence officielle : site Cybermalveillance.gouv.fr
DDoS (Distributed Denial of Service)
Une attaque DDoS consiste à saturer un service en ligne avec un volume massif de requêtes provenant de multiples machines. L’objectif est de rendre un site ou une application indisponible. Ces attaques exploitent souvent des réseaux d’équipements compromis appelés botnets.
DLP (Data Loss Prevention)
La DLP regroupe des solutions visant à prévenir la fuite ou la divulgation non autorisée de données sensibles. Elle contrôle les transferts d’informations via email, cloud, périphériques ou réseaux. Elle contribue à la protection des données stratégiques et personnelles.
DORA
DORA (Digital Operational Resilience Act) est un règlement européen qui encadre la résilience opérationnelle des acteurs financiers face aux risques numériques. Il impose des exigences en matière de gestion des incidents IT, de tests de résilience et de supervision des prestataires technologiques critiques. Son objectif est d’assurer la continuité des services financiers même en cas de cyberattaque ou de défaillance majeure.
Cadre réglementaire : texte officiel du règlement DORA (Union européenne).
EBIOS (Analyse de risques)
EBIOS est une méthode française d’analyse de risques en cybersécurité. Elle permet d’identifier les scénarios de menace et d’évaluer leurs impacts potentiels. Elle aide à définir des mesures de protection adaptées aux enjeux métier.
EDR / XDR / MDR
EDR (Endpoint Detection and Response)
Solution centrée sur les postes de travail et les serveurs. Elle détecte les comportements suspects sur les terminaux, c’est-à-dire les équipements utilisateurs (PC, ordinateurs portables, serveurs).
C’est un outil de sécurité installé directement sur ces machines, appelées en anglais endpoints (postes de travail).
XDR (Extended Detection and Response)
Approche élargie qui corrèle les données issues de plusieurs briques : endpoints, réseau, messagerie, cloud, identités. Elle offre une vision plus globale des attaques et réduit les angles morts entre silos de sécurité. C’est une plateforme unifiée, plus transverse qu’un EDR.
MDR (Managed Detection and Response)
Service opéré par des experts qui surveillent, analysent et répondent aux incidents pour le compte d’une organisation. Il peut s’appuyer sur un EDR ou un XDR, mais inclut surtout une dimension humaine et opérationnelle. Ce n’est pas un produit, mais une prestation externalisée de détection et de réponse.
Forensic (Analyse post-incident)
La forensic est l’analyse technique réalisée après un incident de sécurité. Elle vise à comprendre le mode opératoire, l’étendue de la compromission et les données impactées. Elle sert aussi à constituer des éléments de preuve.
Gouvernance des données
La gouvernance des données définit les règles de gestion, de qualité et de protection des informations d’une organisation. Elle précise les responsabilités, les processus et les contrôles associés aux données. Elle est essentielle pour répondre aux exigences réglementaires et aux enjeux d’exploitation analytique.
Honeypot (pot de miel)
Un honeypot est un système volontairement exposé et vulnérable, conçu pour attirer des attaquants.
Il permet d’observer leurs techniques, de collecter des informations sur les menaces et de détecter des tentatives d’intrusion. Il ne protège pas directement le système d’information, mais sert d’outil de surveillance et d’analyse.
Human Risk Management (HRM)
Approche de cybersécurité visant à mesurer, analyser et réduire le risque lié aux comportements des utilisateurs (clic sur un lien malveillant, partage d’identifiants, erreurs de manipulation), en combinant sensibilisation, simulations d’attaque et indicateurs de suivi.
IAM (Identity and Access Management)
L’IAM regroupe les outils et processus permettant de gérer les identités numériques et les droits d’accès. Il garantit que chaque utilisateur accède uniquement aux ressources nécessaires à sa fonction. Il constitue un pilier central de la sécurité des environnements cloud et hybrides.
ISO 27001
ISO 27001 est une norme internationale qui définit les exigences pour mettre en place un système de management de la sécurité de l’information (SMSI). Elle encadre la gestion des risques, les politiques de sécurité et l’amélioration continue des contrôles. Une organisation peut être certifiée ISO 27001 après audit par un organisme accrédité.
MFA (Authentification multifacteur)
La MFA consiste à exiger au moins deux éléments distincts pour vérifier l’identité d’un utilisateur. Ces facteurs peuvent combiner mot de passe, code temporaire, biométrie ou clé physique. Elle réduit fortement les risques liés au vol ou à la compromission d’identifiants.
MITRE
MITRE est une organisation américaine à but non lucratif qui développe des référentiels de cybersécurité largement utilisés à l’international. Elle est notamment à l’origine du programme CVE (Common Vulnerabilities and Exposures) et du cadre MITRE ATT&CK, qui décrit les techniques utilisées par les attaquants. Ces référentiels servent de base à de nombreux outils de détection et d’analyse des menaces.
Référence officielle : organisation MITRE.
NDR (Network Detection and Response)
Le NDR désigne des solutions capables de surveiller et d’analyser le trafic réseau afin de détecter des comportements suspects. Contrairement à l’EDR, centré sur les postes de travail, le NDR observe les communications entre machines pour identifier des mouvements latéraux ou des exfiltrations de données. Il complète les dispositifs existants en apportant une visibilité sur l’activité interne du réseau.
NIS 2 (Directive européenne)
NIS 2 est une directive européenne qui renforce les exigences de cybersécurité pour un large éventail d’organisations publiques et privées jugées essentielles au fonctionnement de l’économie et de la société. Elle impose des obligations plus strictes en matière de gestion des risques, de gouvernance, de notification des incidents et de responsabilité des dirigeants. Son objectif est d’harmoniser le niveau de sécurité au sein de l’Union européenne et de mieux préparer les États membres face aux cybermenaces majeures.
Cadre réglementaire : texte officiel de la directive NIS 2 (Union européenne).
PAM (Privileged Access Management)
Le PAM désigne les solutions permettant de sécuriser les comptes à privilèges, comme les comptes administrateurs. Il contrôle, enregistre et limite les actions réalisées avec ces accès sensibles. Son objectif est de réduire les risques d’abus ou de compromission d’un compte critique.
Pare-feu / Firewall (NGFW)
Un pare-feu est un équipement ou un logiciel qui contrôle les flux réseau entrants et sortants selon des règles de sécurité définies. Les versions dites NGFW (Next-Generation Firewall) vont plus loin en analysant les applications, les utilisateurs et certains contenus pour détecter des menaces avancées. Il constitue un point de contrôle central entre un réseau interne et l’extérieur, notamment Internet.
PCA (Plan de Continuité d’Activité)
Le PCA vise à maintenir l’activité essentielle d’une organisation malgré une crise. Il inclut des mesures organisationnelles, humaines et techniques. Il intervient en amont ou en complément du PRA (Plan de Reprise d’Activité).
Pentest (Test d’intrusion)
Un pentest est une simulation d’attaque réalisée par des experts en sécurité. Il vise à identifier les failles techniques ou organisationnelles exploitables par un attaquant. Les résultats permettent de prioriser les actions correctives.
Phishing / Spearfishing
Le phishing est une tentative d’escroquerie visant à obtenir des informations sensibles via des messages frauduleux. Le spearfishing cible une personne ou une organisation précise avec un message personnalisé. Ces attaques exploitent principalement l’ingénierie sociale plutôt que des failles techniques.
PRA (Plan de Reprise d’Activité)
Le PRA décrit les procédures permettant de restaurer les systèmes informatiques après un incident majeur. Il définit les priorités, les délais de redémarrage et les ressources nécessaires. Son objectif est de limiter la durée d’indisponibilité des services critiques.
Ransomware-as-a-Service (RaaS)
Le RaaS est un modèle criminel dans lequel des groupes développent un rançongiciel et le louent à des affiliés. Ces derniers mènent les attaques et partagent les gains issus des rançons avec les développeurs. Ce fonctionnement industrialise les cyberattaques et abaisse la barrière d’entrée pour les cybercriminels.
RGPD
Le RGPD est le règlement européen qui encadre la collecte et l’utilisation des données personnelles au sein de l’Union européenne. Il impose aux organisations des obligations de transparence, de sécurité et de respect des droits des personnes concernées. Des sanctions financières importantes sont prévues en cas de non-conformité.
Cadre réglementaire : texte officiel du RGPD (Union européenne).
Sandboxing
Le sandboxing consiste à exécuter un fichier ou un programme suspect dans un environnement isolé. Il permet d’observer son comportement sans risque pour le système principal. Il est utilisé pour détecter les malwares inconnus.
SASE (Secure Access Service Edge)
Le SASE est un modèle qui regroupe, dans le cloud, des fonctions réseau et des fonctions de sécurité auparavant séparées. Il combine par exemple la connexion entre sites distants (SD-WAN, réseau étendu piloté par logiciel) et des outils comme le pare-feu, le filtrage web ou le contrôle des accès aux applications cloud. L’objectif est de sécuriser les utilisateurs où qu’ils se trouvent, en vérifiant leur identité, leur terminal et le contexte de connexion, plutôt que de protéger uniquement un siège ou un datacenter.
SecNumCloud
SecNumCloud est un label de sécurité délivré par l’ANSSI pour les prestataires de services cloud.
Il garantit un haut niveau d’exigence en matière de protection des données, d’architecture technique et de souveraineté. Il vise notamment à limiter les risques liés aux législations extraterritoriales et aux dépendances technologiques.
Référence officielle : référentiel SecNumCloud (ANSSI)
SIEM (Security Information and Event Management)
Un SIEM (en français : gestion des informations et des événements de sécurité) centralise et corrèle les journaux d’événements issus de différents équipements et applications. Il permet de détecter des comportements suspects et de générer des alertes en temps réel. Il constitue souvent le socle technologique d’un SOC.
Shadow IT
Le Shadow IT désigne l’usage d’outils ou de services numériques sans validation de la DSI. Il peut améliorer la productivité à court terme mais crée des angles morts en matière de sécurité. Il complique également la gouvernance et la conformité réglementaire.
SOC (Security Operations Center)
Un SOC est une cellule dédiée à la surveillance continue de la sécurité d’un système d’information.
Il centralise les alertes issues des outils (SIEM, EDR, pare-feu, etc.), les analyse et qualifie les incidents afin de distinguer les fausses alertes des attaques réelles. Selon son niveau de maturité, il assure aussi la réponse aux incidents, la coordination de crise et l’amélioration continue des dispositifs de défense. Il peut être interne à l’entreprise ou opéré par un prestataire spécialisé.
SSO (Single Sign-On)
Le SSO permet à un utilisateur d’accéder à plusieurs applications avec une seule authentification.
Il simplifie l’expérience utilisateur tout en centralisant la gestion des accès. Il doit être combiné à des mécanismes forts comme la MFA.
Surface d’attaque
La surface d’attaque regroupe l’ensemble des points d’entrée potentiellement exploitables par un attaquant. Elle inclut les systèmes exposés, les applications, les identités et les équipements connectés. La réduire est un objectif central des stratégies de cybersécurité.
Threat Intelligence
La Threat Intelligence désigne la collecte et l’analyse d’informations sur les menaces numériques.
Elle permet d’anticiper les attaques et d’adapter les dispositifs de défense. Elle s’appuie sur des sources techniques, sectorielles et parfois gouvernementales.
VPN (Virtual Private Network)
Un VPN crée un tunnel chiffré entre un utilisateur distant et le réseau interne de son organisation.
Il permet d’accéder aux ressources comme si l’on était physiquement sur site. Il repose sur une logique périmétrique : une fois connecté, l’utilisateur est intégré au réseau.
Zero Trust (ZTA / ZTO / ZTNA)
Le Zero Trust est un modèle de sécurité qui part du principe qu’aucun utilisateur, équipement ou application ne doit être considéré comme fiable par défaut, même à l’intérieur du réseau.
Chaque demande d’accès est vérifiée dynamiquement selon l’identité, le niveau de privilège, l’état du terminal et le contexte (localisation, comportement, risque). Concrètement, cela implique une segmentation fine des ressources, une authentification forte, une surveillance continue et une limitation stricte des droits afin de réduire l’impact d’une compromission.
- ZTA signifie Zero Trust Architecture : il s’agit du cadre technique et organisationnel qui formalise la mise en œuvre du modèle (segmentation, contrôle d’accès, vérification continue, etc.).
- ZTO signifie Zero Trust Organization : le terme désigne une organisation qui applique ces principes au-delà de la technique, en les intégrant à sa gouvernance et à ses processus.
- ZTNA signifie Zero Trust Network Access : solution technique qui applique le Zero Trust aux accès réseau, en autorisant uniquement l’accès à des applications spécifiques plutôt qu’à l’ensemble du réseau.
Référence officielle : NIST SP 800-207 – Zero Trust Architecture (NIST).
