sheet

1. Security and Risk Management
1. AAA: Authentication, Authorization, and Accounting
  1. Description: Système de gestion des accès et de suivi des activités des utilisateurs.
  2. Exemple: Implémenté dans les VPN pour suivre l'utilisation et l'accès des utilisateurs.
  3. Outils: RADIUS, TACACS+.
  4. Lien: Critique pour la traçabilité et la gestion des accès.
2. ALE: Annualized Loss Expectancy
  1. Description: Estimation financière annuelle des pertes liées à un risque donné.
  2. Exemple: Calculé en multipliant l'ARO (Annualized Rate of Occurrence) par l'impact financier d'un incident.
  3. Lien avec métiers: Utilisé par les Risk Managers pour évaluer les priorités budgétaires.
3. ARO: Annualized Rate of Occurrence
  1. Description: Fréquence estimée à laquelle un risque ou un événement se produit annuellement.
  2. Exemple: Si une inondation a 20% de chances de se produire chaque année, l'ARO est de 0.2.
4. EF: Exposure Factor
  1. Description: Pourcentage de l'impact potentiel qu'un incident de sécurité peut avoir sur un actif.
  2. Exemple: Si une attaque détruit 50% d'un actif, l'EF est de 0.5.
5. AV: Asset Value
  1. Description: Valeur attribuée à un actif en termes financiers ou opérationnels.
  2. Exemple: Un serveur critique peut avoir une valeur financière (50 000 €) et une valeur opérationnelle basée sur son importance pour l'entreprise.
  3. Lien avec métiers: Critique pour les analyses de risque et la gestion des actifs.
6. EAL: Evaluation Assurance Level
  1. Description: Niveau de confiance obtenu via une évaluation indépendante de la sécurité d'un produit.
  2. Exemple: Un produit peut obtenir un EAL 4 pour indiquer qu'il a été rigoureusement testé selon les critères Common Criteria.
  3. Lien avec standards: Aligné sur le framework "Common Criteria for IT Security Evaluation".
7. GDPR: General Data Protection Regulation
  1. Description: Réglementation européenne sur la protection des données personnelles.
  2. Exemple: Les entreprises doivent obtenir le consentement explicite avant de collecter des données.
  3. Sanction: Amendes allant jusqu'à 4% du chiffre d'affaires mondial.
  4. Lien avec métier: Les DPO (Data Protection Officers) doivent veiller à sa conformité.
8. NDA: Non-Disclosure Agreement
  1. Description: Contrat juridique qui empêche les parties impliquées de divulguer des informations confidentielles.
  2. Exemple: Signé par un employé ayant accès à des données sensibles pour empêcher leur diffusion à des tiers.
  3. Lien avec la sécurité: Protège les secrets commerciaux et les informations sensibles.
9. KRI: Key Risk Indicator
  1. Description: Mesures spécifiques utilisées pour surveiller les risques organisationnels.
  2. Exemple: Augmentation des tentatives de phishing signalées comme indicateur clé d'un risque cyber.
  3. Outils associés: Tableau de bord de gestion des risques, Splunk (pour les alertes).
10. KPI: Key Performance Indicator
  1. Description: Indicateurs utilisés pour mesurer la performance d'un processus ou d'une activité.
  2. Exemple: Temps moyen pour détecter et répondre à un incident de sécurité (MTTR).
  3. Lien avec la sécurité: Permet de suivre l'efficacité des processus liés à la sécurité.
11. GLBA: Gramm-Leach-Bliley Act
  1. Description: Réglementation américaine exigeant que les institutions financières protègent les informations personnelles des clients.
  2. Exemple: Oblige les banques à divulguer leurs politiques de confidentialité et à protéger les données des consommateurs.
12. HIPAA: Health Insurance Portability and Accountability Act
  1. Description: Réglementation protégeant les informations de santé des patients et imposant des normes de sécurité.
  2. Exemple: Les hôpitaux doivent chiffrer les données des dossiers médicaux électroniques.
13. SOX: Sarbanes-Oxley Act
  1. Description: Loi américaine visant à renforcer la transparence financière et la responsabilité des entreprises cotées en bourse.
  2. Exemple: Requiert la mise en place de contrôles internes pour protéger les données financières.
14. COPPA: Children’s Online Privacy Protection Act
  1. Description: Réglementation pour protéger la vie privée des enfants en ligne.
  2. Exemple: Exige le consentement parental pour collecter des informations sur les enfants de moins de 13 ans.
15. CCPA: California Consumer Privacy Act
  1. Description: Réglementation californienne donnant aux consommateurs plus de contrôle sur leurs données personnelles.
  2. Exemple: Permet aux résidents californiens de demander la suppression de leurs données collectées.
16. CPRA: California Privacy Rights Act of 2020
  1. Description: Amendement au CCPA, renforçant les droits des consommateurs en matière de confidentialité des données.
17. PIPEDA: Personal Information Protection and Electronic Documents Act
  1. Description: Loi canadienne régissant la collecte, l'utilisation et la divulgation des informations personnelles.
  2. Exemple: Les entreprises doivent obtenir le consentement des individus pour collecter leurs données.
18. PIPL: Personal Information Protection Law
  1. Description: Loi chinoise sur la protection des données personnelles, inspirée du RGPD.
  2. Exemple: Régule la collecte, l'utilisation et la conservation des données des citoyens chinois.
19. POPIA: Protection of Personal Information Act
  1. Description: Réglementation visant à protéger les données personnelles en Afrique du Sud.
  2. Exemple: Exige que les entreprises locales protègent les informations personnelles des individus.
20. PDPL: Personal Data Protection Law Number 25,326
  1. Description: Réglementation sur la protection des données personnelles en Argentine.
  2. Exemple: Requiert des mesures spécifiques pour protéger les données des citoyens.
21. PIPA: Personal Information Protection Act
  1. Description: Loi coréenne sur la confidentialité et la protection des données personnelles.
  2. Exemple: Implique des restrictions strictes sur le transfert des données en dehors de la Corée du Sud.
22. APPs: Australian Privacy Principles
  1. Description: Principes de confidentialité définis dans la loi australienne sur la protection des données.
  2. Exemple: Régulent la collecte, l'utilisation et la divulgation des informations personnelles en Australie.
23. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
  1. Description: Lignes directrices internationales de l'OCDE pour harmoniser la protection des données personnelles entre les pays.
  2. Exemple: Promeut un équilibre entre la protection de la vie privée et le libre échange des données.
  3. Lien: Inspiré plusieurs cadres nationaux et régionaux comme le RGPD.
2. Asset Security
1. BC: Business Continuity
  1. Description: Capacité d'une organisation à maintenir ou reprendre rapidement ses activités critiques après une interruption.
  2. Exemple: Une entreprise de commerce électronique met en place une infrastructure cloud pour garantir la continuité des ventes en ligne pendant une panne de serveur.
  3. Lien avec normes: Intégré dans les meilleures pratiques ISO 22301.
2. BCM: Business Continuity Management
  1. Description: Processus de gestion pour identifier les menaces potentielles et garantir la continuité des opérations commerciales.
  2. Exemple: Évaluation des dépendances critiques d'une entreprise, comme les fournisseurs et les infrastructures IT.
3. BCP: Business Continuity Plan
  1. Description: Plan pour garantir la reprise des activités critiques après un incident.
  2. Scénario: Lorsqu'un datacenter est indisponible, le BCP prévoit la redirection vers un site de secours.
  3. Lien avec normes: Aligné sur ISO 22301.
4. DR: Disaster Recovery
  1. Description: Ensemble de stratégies pour restaurer les systèmes, données et infrastructures après un incident majeur.
  2. Exemple: Mise en place de sauvegardes géo-redondantes pour les bases de données critiques.
  3. Lien avec le BCP: Le DR fait partie du plan global de continuité d'activité.
5. DRP: Disaster Recovery Plan
  1. Description: Processus détaillé pour récupérer les données et les systèmes après une catastrophe.
  2. Exemple: Restauration des bases de données après une cyberattaque.
  3. Outils associés: Veeam, Acronis.
6. DPIA: Data Protection Impact Assessment
  1. Description: Évaluation des risques liés au traitement des données personnelles pour garantir leur protection.
  2. Exemple: Réalisé lors de l'implémentation d'un système de vidéosurveillance collectant des données personnelles.
  3. Lien avec RGPD: Obligation légale en Europe pour certains traitements de données sensibles.
7. DPO: Data Protection Officer
  1. Description: Responsable de la conformité d'une organisation avec les réglementations sur la protection des données.
  2. Exemple: Supervise les processus de traitement des données dans une entreprise pour s'assurer qu'ils respectent le RGPD.
  3. Lien avec métier: Rôle souvent occupé dans les grandes organisations ou entreprises internationales.
8. IAM: Identity and Access Management
  1. Description: Gestion des identités pour contrôler les accès aux ressources.
  2. Exemple: Utilisation de MFA (Multi-Factor Authentication) pour renforcer la sécurité.
  3. Outils: Okta, Microsoft Azure AD.
9. ISO: International Organization for Standardization
3. Security Architecture and Engineering
1. AES: Advanced Encryption Standard
  1. Description: Algorithme de chiffrement symétrique utilisé pour sécuriser les données.
  2. Exemple: Utilisé dans WPA2 pour sécuriser les connexions Wi-Fi.
  3. Menace: Attaques par brute force (très rare).
  4. Contre-mesure: Utilisation de clés longues (256 bits).
2. AH: Authentication Header
  1. Description: Protocole utilisé dans IPSec pour garantir l'authenticité et l'intégrité des paquets réseau.
  2. Exemple: AH vérifie que les paquets n'ont pas été modifiés en transit entre deux points dans un tunnel VPN.
  3. Menace: Attaques de falsification si les clés d'authentification sont compromises.
  4. Contre-mesure: Rotation régulière des clés et implémentation de mécanismes de sécurité robustes.
3. ECC: Elliptic Curve Cryptography
  1. Description: Méthode de cryptographie asymétrique utilisant les propriétés des courbes elliptiques.
  2. Exemple: Utilisé dans les certificats SSL/TLS pour sécuriser les connexions HTTPS.
  3. Avantages: Fournit une sécurité élevée avec des clés plus courtes que RSA, réduisant ainsi les exigences de calcul.
4. HSM: Hardware Security Module
  1. Description: Dispositif matériel utilisé pour sécuriser le stockage et la gestion des clés cryptographiques.
  2. Exemple: Utilisé par les banques pour protéger les clés de chiffrement des transactions.
5. TLS: Transport Layer Security
  1. Description: Protocole de sécurisation des communications réseau.
  2. Exemple: Sécurise les connexions HTTPS sur le web.
  3. Menace: Configuration TLS faible ou obsolète (ex: TLS 1.0).
  4. Outils: OpenSSL, Wireshark pour analyser la configuration.
6. SSL: Secure Sockets Layer
  1. Description: Ancien protocole de sécurisation des communications réseau remplacé par TLS.
  2. Exemple: SSL 3.0 a été largement utilisé avant d'être considéré comme obsolète en raison de vulnérabilités comme POODLE.
  3. Menace: Utilisation de versions obsolètes (SSL 2.0, 3.0) vulnérables à des attaques.
  4. Contre-mesure: Migration vers TLS 1.2 ou 1.3.
7. HVAC: Heating, Ventilation, and Air Conditioning
  1. Description: Systèmes de régulation thermique et de ventilation critiques pour les centres de données.
  2. Exemple: Un bon système HVAC empêche la surchauffe des serveurs dans un datacenter.
  3. Menace: Panne du système pouvant entraîner des interruptions de service.
  4. Contre-mesure: Maintenance préventive et systèmes redondants.
8. NIST: National Institute of Standards and Technology
  1. Description: Institut américain qui publie des normes et des directives pour la sécurité de l'information.
  2. Exemple: Le NIST CSF (Cybersecurity Framework) est une référence pour la gestion des risques cybersécurité.
  3. Lien avec normes: Sert de base pour des frameworks comme ISO 27001 et COBIT.
9. TOGAF: The Open Group Architecture Framework
  1. Description: Framework utilisé pour planifier, concevoir et gérer l'architecture d'entreprise.
  2. Exemple: TOGAF aide à aligner les objectifs de l'entreprise avec les solutions IT.
  3. Lien avec sécurité: Fournit une base pour intégrer la sécurité dans la conception des architectures d'entreprise.
4. Communication and Network Security
1. DNS: Domain Name System
  1. Description: Système qui traduit les noms de domaine en adresses IP pour permettre aux navigateurs d'accéder aux ressources.
  2. Exemple: Lorsque vous tapez "google.com", le DNS le convertit en une adresse IP comme "8.8.8.8".
  3. Menace: Attaques par empoisonnement du cache DNS (DNS cache poisoning).
  4. Contre-mesure: Utilisation de DNSSEC et serveurs DNS sécurisés.
2. DNSSEC: Domain Name System Security Extensions
  1. Description: Extensions de sécurité pour DNS afin de garantir l'intégrité des données.
  2. Exemple: Empêche les attaques de type DNS spoofing.
3. DoS: Denial of Service
  1. Description: Attaque visant à rendre un service ou une ressource indisponible en l'inondant de trafic.
  2. Exemple: Une attaque DoS ciblant un serveur web peut le surcharger et le rendre inaccessible.
  3. Menace associée: DDoS (Distributed Denial of Service) avec plusieurs machines attaquantes.
  4. Contre-mesure: Utilisation de pare-feu applicatifs (WAF) et services de protection DDoS comme Cloudflare.
4. GRE: Generic Routing Encapsulation
  1. Description: Protocole utilisé pour encapsuler des protocoles réseau dans un autre protocole.
  2. Exemple: Utilisé pour créer des tunnels VPN entre sites distants.
  3. Outils associés: Cisco GRE pour les tunnels réseau.
5. IPSec: Internet Protocol Security
  1. Description: Suite de protocoles pour sécuriser les communications réseau au niveau IP.
  2. Exemple: Utilisé pour chiffrer les données dans les tunnels VPN de site à site.
  3. Menace: Mauvaise configuration pouvant exposer les données en clair.
  4. Contre-mesure: Implémentation correcte avec AH et ESP (Encapsulation Security Payload).
6. NAT: Network Address Translation
  1. Description: Technique utilisée pour traduire les adresses IP privées en adresses publiques, et vice versa.
  2. Exemple: Un routeur NAT permet à plusieurs appareils d'un réseau local d'accéder à Internet en partageant une seule adresse IP publique.
  3. Avantage: Protège les réseaux internes en masquant les adresses IP privées.
7. NIDS: Network Intrusion Detection System
  1. Description: Système qui surveille le trafic réseau pour détecter des activités suspectes.
  2. Exemple: Un NIDS peut détecter des tentatives de balayage de ports ou des attaques DoS.
  3. Outils: Snort, Suricata.
8. NIPS: Network Intrusion Prevention System
  1. Description: Extension du NIDS qui, en plus de détecter les menaces, les bloque automatiquement.
  2. Exemple: Bloque une tentative d'injection SQL détectée dans le trafic réseau.
  3. Outils: Palo Alto Networks, Cisco Firepower.
9. OSPF: Open Shortest Path First
  1. Description: Protocole de routage dynamique utilisé pour trouver le chemin le plus court entre les réseaux.
  2. Exemple: Utilisé dans les réseaux d'entreprise pour garantir une communication rapide et fiable entre les sous-réseaux.
  3. Menace: Attaques de manipulation des routes (route poisoning).
  4. Contre-mesure: Sécuriser les échanges OSPF avec des clés d'authentification.
10. VPN: Virtual Private Network
  1. Description: Crée un tunnel sécurisé pour les communications sur un réseau non sécurisé.
  2. Exemple: Utilisé pour le télétravail sécurisé.
  3. Menace: Compromission des clés VPN ou fuites DNS.
  4. Contre-mesure: MFA et politiques de rotation des clés.
  5. Outils: OpenVPN, Cisco AnyConnect.
11. BGP: Border Gateway Protocol
  1. Description: Protocole de routage utilisé pour échanger des routes entre réseaux.
  2. Exemple: Utilisé par les FAI pour le routage Internet global.
  3. Menace: Attaques BGP hijacking (détournement de trafic).
  4. Contre-mesure: Utilisation de RPKI (Resource Public Key Infrastructure).
12. VLAN: Virtual Local Area Network
  1. Description: Réseau logique créé sur un commutateur pour segmenter les réseaux physiques en sous-réseaux.
  2. Exemple: Un VLAN peut isoler le trafic du service RH du reste du réseau de l'entreprise.
  3. Avantage: Réduit les menaces internes en limitant la portée des attaques potentielles.
  4. Outils associés: Configurations sur des commutateurs Cisco ou Juniper.
5. Identity and Access Management (IAM)
1. AAA: Authentication, Authorization, and Accounting
  1. Description: Méthode pour contrôler l'accès, autoriser les actions, et tracer les activités des utilisateurs.
  2. Exemple: Utilisé dans les réseaux sécurisés comme les VPN pour suivre les connexions utilisateur.
  3. Outils: RADIUS, TACACS+.
2. IAM: Identity and Access Management
  1. Description: Gestion des identités et des autorisations pour garantir que seules les personnes autorisées accèdent aux ressources appropriées.
  2. Exemple: Implémentation d'un système SSO dans une entreprise.
  3. Outils: Okta, Microsoft Azure AD, CyberArk.
3. TGT: Ticket Granting Ticket
  1. Description: Élément clé de Kerberos, un système d'authentification sécurisé, utilisé pour fournir des sessions authentifiées.
  2. Exemple: Un utilisateur obtient un TGT après s'être authentifié, qui est ensuite utilisé pour demander des accès à des ressources spécifiques.
4. OTP: One-Time Password
  1. Description: Mot de passe à usage unique généré pour une seule session ou une seule transaction.
  2. Exemple: Utilisé dans les systèmes bancaires pour valider des transactions en ligne.
  3. Outils: Google Authenticator, Duo Mobile.
5. LDAP: Lightweight Directory Access Protocol
  1. Description: Protocole pour interroger et gérer des informations dans des services d'annuaire, souvent utilisé pour la gestion des identités.
  2. Exemple: Requêtes LDAP dans Active Directory pour rechercher un utilisateur.
  3. Outils associés: OpenLDAP, Microsoft Active Directory.
6. KDC: Key Distribution Center
  1. Description: Composant de Kerberos responsable de l'émission des clés cryptographiques et des tickets d'accès.
  2. Exemple: Gère l'authentification des utilisateurs dans un domaine Active Directory.
  3. Menace: Si compromis, un attaquant peut usurper des identités dans tout le domaine.
  4. Contre-mesure: Sécuriser le KDC avec des mises à jour et des permissions strictes.
7. SSO: Single Sign-On
  1. Description: Permet aux utilisateurs de s'authentifier une seule fois pour accéder à plusieurs applications ou services.
  2. Exemple: Utilisation dans les entreprises pour accéder à des outils internes tels que Microsoft 365 et Salesforce avec un seul identifiant.
  3. Outils: Okta, Azure AD, Ping Identity.
8. RBAC: Role-Based Access Control
  1. Description: Contrôle d'accès basé sur des rôles prédéfinis au lieu de permissions individuelles.
  2. Exemple: Un employé du département RH peut accéder aux données de paie mais pas aux informations techniques.
  3. Avantage: Réduction des erreurs administratives grâce à la gestion centralisée des rôles.
9. MAC: Mandatory Access Control
  1. Description: Modèle de contrôle d'accès où les administrateurs définissent des politiques strictes basées sur des classifications.
  2. Exemple: Utilisé dans les systèmes militaires pour restreindre l'accès à des informations classifiées.
  3. Lien avec la sécurité: Garantit que seules les personnes autorisées peuvent accéder à des ressources critiques, même si elles partagent un même système.
6. Security Assessment and Testing
1. ASLR: Address Space Layout Randomization
  1. Description: Technique de sécurité qui rend imprévisible l'emplacement des zones mémoire d'un processus pour compliquer les exploits.
  2. Exemple: Empêche un attaquant d'utiliser des adresses mémoire prévisibles pour exécuter du code malveillant.
  3. Menace: Bypass ASLR avec des techniques avancées comme la fuite de mémoire (memory leaks).
2. SOAP: Simple Object Access Protocol
  1. Description: Protocole pour échanger des informations structurées dans les services web.
  2. Exemple: Utilisé dans des applications d'entreprise pour échanger des données XML entre serveurs.
  3. Outils associés: Postman, SoapUI.
3. MTBF: Mean Time Between Failures
  1. Description: Mesure statistique du temps moyen entre deux pannes d'un système ou d'un composant.
  2. Exemple: Si un serveur tombe en panne toutes les 1000 heures en moyenne, son MTBF est de 1000 heures.
  3. Lien avec la disponibilité: Utilisé pour évaluer la fiabilité des systèmes critiques.
4. MTD: Maximum Tolerable Downtime
  1. Description: Durée maximale pendant laquelle une entreprise peut tolérer l'indisponibilité d'un service avant que cela ne cause des dommages irrémédiables.
  2. Exemple: Pour un système bancaire, le MTD peut être de 2 heures.
5. FIM: File Integrity Monitoring
  1. Description: Technologie qui surveille les fichiers système critiques pour détecter des modifications non autorisées.
  2. Exemple: Détection de changements sur les fichiers de configuration d’un serveur web.
  3. Outils: Tripwire, OSSEC.
6. UBA: User Behavior Analytics
  1. Description: Analyse des comportements des utilisateurs pour identifier des anomalies pouvant indiquer des menaces internes.
  2. Exemple: Un utilisateur télécharge un volume de données inhabituel, déclenchant une alerte.
  3. Outils: Splunk UBA, Exabeam.
7. UEBA: User Entity Behavior Analytics
  1. Description: Extension de l'UBA qui inclut les entités (machines, applications) en plus des utilisateurs pour détecter les anomalies.
  2. Exemple: Une application tente de se connecter à un serveur auquel elle n'a jamais accédé auparavant.
  3. Outils: Sumo Logic, Azure Sentinel.
8. SIEM: Security Information and Event Management
  1. Description: Centralise les journaux de sécurité pour l'analyse et la détection des incidents.
  2. Exemple: Permet de détecter des anomalies réseau ou des tentatives de connexion suspectes.
  3. Outils: Splunk, ELK Stack, QRadar, Wazzuh.
7. Security Operations
1. SIEM: Security Information and Event Management
  1. Description: Centralise les journaux de sécurité pour l'analyse et la détection des incidents.
  2. Exemple: Permet de détecter des anomalies réseau ou des tentatives de connexion suspectes.
  3. Outils: Splunk, ELK Stack, QRadar, Wazzuh.
2. IDS: Intrusion Detection System
  1. Description: Système qui surveille le trafic réseau ou les activités système pour détecter des comportements suspects ou malveillants.
  2. Exemple: Détecte une tentative d'accès non autorisé via une attaque brute force.
  3. Outils: Snort, Suricata.
  4. Lien avec IPS: Un IDS se contente de détecter, alors qu'un IPS peut prévenir.
3. IPS: Intrusion Prevention System
  1. Description: Extension d'un IDS qui, en plus de détecter, bloque automatiquement les activités malveillantes.
  2. Exemple: Bloque une tentative d'injection SQL détectée dans le trafic réseau.
  3. Outils: Cisco Firepower, Palo Alto Threat Prevention.
4. SOC: Security Operations Center
  1. Description: Équipe ou unité organisationnelle dédiée à la surveillance, à l'analyse et à la réponse aux incidents de sécurité.
  2. Exemple: Analyse des alertes générées par un SIEM pour identifier et atténuer une attaque en cours.
  3. Outils utilisés: SIEM, UBA, UEBA, outils de threat intelligence.
5. HIPS: Host Intrusion Prevention System
  1. Description: Système qui surveille les activités au niveau des hôtes spécifiques pour détecter et bloquer des menaces en temps réel.
  2. Exemple: Bloque un script malveillant exécuté sur un serveur.
  3. Outils: Trend Micro, Symantec Endpoint Protection.
6. DRP: Disaster Recovery Plan
  1. Description: Plan détaillé pour restaurer les systèmes, données et infrastructures après une catastrophe.
  2. Exemple: Plan pour redémarrer un datacenter secondaire après une panne majeure.
  3. Lien avec BCP: Le DRP est une composante du Business Continuity Plan.
7. UPS: Uninterruptible Power Supply
  1. Description: Système de batterie conçu pour fournir une alimentation de secours en cas de coupure d'électricité.
  2. Exemple: Empêche les interruptions des serveurs critiques lors de coupures de courant brèves.
  3. Outils associés: APC UPS, Eaton Powerware.
8. SSD: Solid State Drive
  1. Description: Dispositif de stockage non volatile qui utilise des puces mémoire flash au lieu de disques magnétiques.
  2. Exemple: Utilisé pour accélérer les performances des systèmes critiques par rapport aux disques durs traditionnels.
  3. Avantages: Vitesse, fiabilité, résistance aux chocs.
9. SSH: Secure Shell
  1. Description: Protocole de communication sécurisé permettant la gestion et l'administration à distance des systèmes.
  2. Exemple: Utilisé par les administrateurs pour se connecter à distance à un serveur et exécuter des commandes.
  3. Outils: OpenSSH, PuTTY.
  4. Menace: Tentatives d'attaques par brute force sur les ports SSH ouverts.
  5. Contre-mesure: Utilisation de clés SSH, MFA, et modification des ports par défaut.
10. SNMP: Simple Network Management Protocol
  1. Description: Protocole utilisé pour gérer et surveiller les équipements réseau comme les routeurs, switches, et serveurs.
  2. Exemple: Collecte de métriques telles que l'utilisation du processeur ou de la mémoire d'un commutateur.
  3. Menace: Exploitation d'une configuration SNMP publique non sécurisée.
  4. Contre-mesure: Utilisation de SNMPv3 avec chiffrement et authentification.
  5. Outils: Zabbix, SolarWinds.
8. Software Development Security
1. XML: Extensible Markup Language
  1. Description: Langage de balisage utilisé pour stocker et transporter des données sous une structure hiérarchique.
  2. Exemple: Utilisé dans des applications web pour échanger des données entre systèmes.
  3. Menace: Attaques XML External Entity (XXE).
  4. Contre-mesure: Désactiver les entités externes dans les parsers XML.
2. XSS: Cross-Site Scripting
  1. Description: Vulnérabilité permettant à un attaquant d'injecter du code malveillant dans une application web pour interagir avec les utilisateurs.
  2. Exemple: Un champ de formulaire non validé permet à un attaquant d'injecter un script JavaScript malveillant.
  3. Contre-mesure: Validation et encodage des entrées, utilisation de Content Security Policy (CSP).
  4. Outils de test: Burp Suite, OWASP ZAP.
3. SHA: Secure Hash Algorithm
  1. Description: Famille de fonctions de hachage cryptographique utilisées pour vérifier l'intégrité des données.
  2. Exemple: SHA-256 est utilisé dans les certificats SSL/TLS et dans les signatures numériques.
  3. Menace: SHA-1 est obsolète et vulnérable aux collisions.
  4. Contre-mesure: Migration vers SHA-256 ou SHA-3.
4. SAST: Static Application Security Testing
  1. Description: Analyse du code source statique pour détecter les vulnérabilités avant l'exécution.
  2. Exemple: Identification d'une injection SQL dans une application web.
  3. Outils: SonarQube, Checkmarx, Fortify.
5. DAST: Dynamic Application Security Testing
  1. Description: Analyse des applications en cours d'exécution pour identifier les vulnérabilités.
  2. Exemple: Détection d'une faille XSS dans une application en ligne.
  3. Outils: OWASP ZAP, Burp Suite.
6. OWASP: Open Web Application Security Project
  1. Description: Organisation qui fournit des ressources et des outils pour améliorer la sécurité des applications web.
  2. Exemple: OWASP Top 10, une liste des principales vulnérabilités dans les applications web.
  3. Lien avec la sécurité: Les pratiques OWASP sont une référence pour les développeurs et les testeurs de sécurité.
7. JSON: JavaScript Object Notation
  1. Description: Format léger pour structurer et transmettre des données en texte clair.
  2. Exemple: Utilisé dans les API RESTful pour échanger des données entre le serveur et le client.
  3. Menace: Injection JSON si les données ne sont pas correctement validées.
  4. Contre-mesure: Valider et filtrer les données JSON reçues.
8. IDE: Integrated Development Environment
  1. Description: Ensemble d'outils pour faciliter le développement logiciel, regroupant éditeur de code, debugger, et compilateur.
  2. Exemple: IntelliJ IDEA pour Java, Visual Studio pour .NET.
  3. Outils populaires: Eclipse, PyCharm, Visual Studio Code.
9. API: Application Programming Interface
  1. Description: Interface qui permet à différentes applications de communiquer entre elles.
  2. Exemple: API de Google Maps utilisée pour intégrer des cartes dans une application.
  3. Menace: Attaques API comme les injections et les abus de quota.
  4. Contre-mesure: Utilisation d'une authentification forte (par exemple, OAuth) et de quotas d'accès.
10. JWT: JSON Web Token
  1. Description: Format compact et sécurisé pour transmettre des informations entre deux parties via des claims.
  2. Exemple: Utilisé pour gérer les sessions utilisateur dans une application web.
  3. Menace: Mauvaise implémentation des algorithmes de signature.
  4. Contre-mesure: Utilisation d'algorithmes robustes comme HS256 ou RS256.