AAA: Authentication, Authorization, and Accounting
Description: Système de gestion des accès et de suivi des activités des utilisateurs.
Exemple: Implémenté dans les VPN pour suivre l'utilisation et l'accès des utilisateurs.
Outils: RADIUS, TACACS+.
Lien: Critique pour la traçabilité et la gestion des accès.
ALE: Annualized Loss Expectancy
Description: Estimation financière annuelle des pertes liées à un risque donné.
Exemple: Calculé en multipliant l'ARO (Annualized Rate of Occurrence) par l'impact financier d'un incident.
Lien avec métiers: Utilisé par les Risk Managers pour évaluer les priorités budgétaires.
ARO: Annualized Rate of Occurrence
Description: Fréquence estimée à laquelle un risque ou un événement se produit annuellement.
Exemple: Si une inondation a 20% de chances de se produire chaque année, l'ARO est de 0.2.
EF: Exposure Factor
Description: Pourcentage de l'impact potentiel qu'un incident de sécurité peut avoir sur un actif.
Exemple: Si une attaque détruit 50% d'un actif, l'EF est de 0.5.
AV: Asset Value
Description: Valeur attribuée à un actif en termes financiers ou opérationnels.
Exemple: Un serveur critique peut avoir une valeur financière (50 000 €) et une valeur opérationnelle basée sur son importance pour l'entreprise.
Lien avec métiers: Critique pour les analyses de risque et la gestion des actifs.
EAL: Evaluation Assurance Level
Description: Niveau de confiance obtenu via une évaluation indépendante de la sécurité d'un produit.
Exemple: Un produit peut obtenir un EAL 4 pour indiquer qu'il a été rigoureusement testé selon les critères Common Criteria.
Lien avec standards: Aligné sur le framework "Common Criteria for IT Security Evaluation".
GDPR: General Data Protection Regulation
Description: Réglementation européenne sur la protection des données personnelles.
Exemple: Les entreprises doivent obtenir le consentement explicite avant de collecter des données.
Sanction: Amendes allant jusqu'à 4% du chiffre d'affaires mondial.
Lien avec métier: Les DPO (Data Protection Officers) doivent veiller à sa conformité.
NDA: Non-Disclosure Agreement
Description: Contrat juridique qui empêche les parties impliquées de divulguer des informations confidentielles.
Exemple: Signé par un employé ayant accès à des données sensibles pour empêcher leur diffusion à des tiers.
Lien avec la sécurité: Protège les secrets commerciaux et les informations sensibles.
KRI: Key Risk Indicator
Description: Mesures spécifiques utilisées pour surveiller les risques organisationnels.
Exemple: Augmentation des tentatives de phishing signalées comme indicateur clé d'un risque cyber.
Outils associés: Tableau de bord de gestion des risques, Splunk (pour les alertes).
KPI: Key Performance Indicator
Description: Indicateurs utilisés pour mesurer la performance d'un processus ou d'une activité.
Exemple: Temps moyen pour détecter et répondre à un incident de sécurité (MTTR).
Lien avec la sécurité: Permet de suivre l'efficacité des processus liés à la sécurité.
GLBA: Gramm-Leach-Bliley Act
Description: Réglementation américaine exigeant que les institutions financières protègent les informations personnelles des clients.
Exemple: Oblige les banques à divulguer leurs politiques de confidentialité et à protéger les données des consommateurs.
HIPAA: Health Insurance Portability and Accountability Act
Description: Réglementation protégeant les informations de santé des patients et imposant des normes de sécurité.
Exemple: Les hôpitaux doivent chiffrer les données des dossiers médicaux électroniques.
SOX: Sarbanes-Oxley Act
Description: Loi américaine visant à renforcer la transparence financière et la responsabilité des entreprises cotées en bourse.
Exemple: Requiert la mise en place de contrôles internes pour protéger les données financières.
COPPA: Children’s Online Privacy Protection Act
Description: Réglementation pour protéger la vie privée des enfants en ligne.
Exemple: Exige le consentement parental pour collecter des informations sur les enfants de moins de 13 ans.
CCPA: California Consumer Privacy Act
Description: Réglementation californienne donnant aux consommateurs plus de contrôle sur leurs données personnelles.
Exemple: Permet aux résidents californiens de demander la suppression de leurs données collectées.
CPRA: California Privacy Rights Act of 2020
Description: Amendement au CCPA, renforçant les droits des consommateurs en matière de confidentialité des données.
PIPEDA: Personal Information Protection and Electronic Documents Act
Description: Loi canadienne régissant la collecte, l'utilisation et la divulgation des informations personnelles.
Exemple: Les entreprises doivent obtenir le consentement des individus pour collecter leurs données.
PIPL: Personal Information Protection Law
Description: Loi chinoise sur la protection des données personnelles, inspirée du RGPD.
Exemple: Régule la collecte, l'utilisation et la conservation des données des citoyens chinois.
POPIA: Protection of Personal Information Act
Description: Réglementation visant à protéger les données personnelles en Afrique du Sud.
Exemple: Exige que les entreprises locales protègent les informations personnelles des individus.
PDPL: Personal Data Protection Law Number 25,326
Description: Réglementation sur la protection des données personnelles en Argentine.
Exemple: Requiert des mesures spécifiques pour protéger les données des citoyens.
PIPA: Personal Information Protection Act
Description: Loi coréenne sur la confidentialité et la protection des données personnelles.
Exemple: Implique des restrictions strictes sur le transfert des données en dehors de la Corée du Sud.
APPs: Australian Privacy Principles
Description: Principes de confidentialité définis dans la loi australienne sur la protection des données.
Exemple: Régulent la collecte, l'utilisation et la divulgation des informations personnelles en Australie.
OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
Description: Lignes directrices internationales de l'OCDE pour harmoniser la protection des données personnelles entre les pays.
Exemple: Promeut un équilibre entre la protection de la vie privée et le libre échange des données.
Lien: Inspiré plusieurs cadres nationaux et régionaux comme le RGPD.
2. Asset Security
BC: Business Continuity
Description: Capacité d'une organisation à maintenir ou reprendre rapidement ses activités critiques après une interruption.
Exemple: Une entreprise de commerce électronique met en place une infrastructure cloud pour garantir la continuité des ventes en ligne pendant une panne de serveur.
Lien avec normes: Intégré dans les meilleures pratiques ISO 22301.
BCM: Business Continuity Management
Description: Processus de gestion pour identifier les menaces potentielles et garantir la continuité des opérations commerciales.
Exemple: Évaluation des dépendances critiques d'une entreprise, comme les fournisseurs et les infrastructures IT.
BCP: Business Continuity Plan
Description: Plan pour garantir la reprise des activités critiques après un incident.
Scénario: Lorsqu'un datacenter est indisponible, le BCP prévoit la redirection vers un site de secours.
Lien avec normes: Aligné sur ISO 22301.
DR: Disaster Recovery
Description: Ensemble de stratégies pour restaurer les systèmes, données et infrastructures après un incident majeur.
Exemple: Mise en place de sauvegardes géo-redondantes pour les bases de données critiques.
Lien avec le BCP: Le DR fait partie du plan global de continuité d'activité.
DRP: Disaster Recovery Plan
Description: Processus détaillé pour récupérer les données et les systèmes après une catastrophe.
Exemple: Restauration des bases de données après une cyberattaque.
Outils associés: Veeam, Acronis.
DPIA: Data Protection Impact Assessment
Description: Évaluation des risques liés au traitement des données personnelles pour garantir leur protection.
Exemple: Réalisé lors de l'implémentation d'un système de vidéosurveillance collectant des données personnelles.
Lien avec RGPD: Obligation légale en Europe pour certains traitements de données sensibles.
DPO: Data Protection Officer
Description: Responsable de la conformité d'une organisation avec les réglementations sur la protection des données.
Exemple: Supervise les processus de traitement des données dans une entreprise pour s'assurer qu'ils respectent le RGPD.
Lien avec métier: Rôle souvent occupé dans les grandes organisations ou entreprises internationales.
IAM: Identity and Access Management
Description: Gestion des identités pour contrôler les accès aux ressources.
Exemple: Utilisation de MFA (Multi-Factor Authentication) pour renforcer la sécurité.
Outils: Okta, Microsoft Azure AD.
ISO: International Organization for Standardization
3. Security Architecture and Engineering
AES: Advanced Encryption Standard
Description: Algorithme de chiffrement symétrique utilisé pour sécuriser les données.
Exemple: Utilisé dans WPA2 pour sécuriser les connexions Wi-Fi.
Menace: Attaques par brute force (très rare).
Contre-mesure: Utilisation de clés longues (256 bits).
AH: Authentication Header
Description: Protocole utilisé dans IPSec pour garantir l'authenticité et l'intégrité des paquets réseau.
Exemple: AH vérifie que les paquets n'ont pas été modifiés en transit entre deux points dans un tunnel VPN.
Menace: Attaques de falsification si les clés d'authentification sont compromises.
Contre-mesure: Rotation régulière des clés et implémentation de mécanismes de sécurité robustes.
ECC: Elliptic Curve Cryptography
Description: Méthode de cryptographie asymétrique utilisant les propriétés des courbes elliptiques.
Exemple: Utilisé dans les certificats SSL/TLS pour sécuriser les connexions HTTPS.
Avantages: Fournit une sécurité élevée avec des clés plus courtes que RSA, réduisant ainsi les exigences de calcul.
HSM: Hardware Security Module
Description: Dispositif matériel utilisé pour sécuriser le stockage et la gestion des clés cryptographiques.
Exemple: Utilisé par les banques pour protéger les clés de chiffrement des transactions.
TLS: Transport Layer Security
Description: Protocole de sécurisation des communications réseau.
Exemple: Sécurise les connexions HTTPS sur le web.
Menace: Configuration TLS faible ou obsolète (ex: TLS 1.0).
Outils: OpenSSL, Wireshark pour analyser la configuration.
SSL: Secure Sockets Layer
Description: Ancien protocole de sécurisation des communications réseau remplacé par TLS.
Exemple: SSL 3.0 a été largement utilisé avant d'être considéré comme obsolète en raison de vulnérabilités comme POODLE.
Menace: Utilisation de versions obsolètes (SSL 2.0, 3.0) vulnérables à des attaques.
Contre-mesure: Migration vers TLS 1.2 ou 1.3.
HVAC: Heating, Ventilation, and Air Conditioning
Description: Systèmes de régulation thermique et de ventilation critiques pour les centres de données.
Exemple: Un bon système HVAC empêche la surchauffe des serveurs dans un datacenter.
Menace: Panne du système pouvant entraîner des interruptions de service.
Contre-mesure: Maintenance préventive et systèmes redondants.
NIST: National Institute of Standards and Technology
Description: Institut américain qui publie des normes et des directives pour la sécurité de l'information.
Exemple: Le NIST CSF (Cybersecurity Framework) est une référence pour la gestion des risques cybersécurité.
Lien avec normes: Sert de base pour des frameworks comme ISO 27001 et COBIT.
TOGAF: The Open Group Architecture Framework
Description: Framework utilisé pour planifier, concevoir et gérer l'architecture d'entreprise.
Exemple: TOGAF aide à aligner les objectifs de l'entreprise avec les solutions IT.
Lien avec sécurité: Fournit une base pour intégrer la sécurité dans la conception des architectures d'entreprise.
4. Communication and Network Security
DNS: Domain Name System
Description: Système qui traduit les noms de domaine en adresses IP pour permettre aux navigateurs d'accéder aux ressources.
Exemple: Lorsque vous tapez "google.com", le DNS le convertit en une adresse IP comme "8.8.8.8".
Menace: Attaques par empoisonnement du cache DNS (DNS cache poisoning).
Contre-mesure: Utilisation de DNSSEC et serveurs DNS sécurisés.
DNSSEC: Domain Name System Security Extensions
Description: Extensions de sécurité pour DNS afin de garantir l'intégrité des données.
Exemple: Empêche les attaques de type DNS spoofing.
DoS: Denial of Service
Description: Attaque visant à rendre un service ou une ressource indisponible en l'inondant de trafic.
Exemple: Une attaque DoS ciblant un serveur web peut le surcharger et le rendre inaccessible.
Menace associée: DDoS (Distributed Denial of Service) avec plusieurs machines attaquantes.
Contre-mesure: Utilisation de pare-feu applicatifs (WAF) et services de protection DDoS comme Cloudflare.
GRE: Generic Routing Encapsulation
Description: Protocole utilisé pour encapsuler des protocoles réseau dans un autre protocole.
Exemple: Utilisé pour créer des tunnels VPN entre sites distants.
Outils associés: Cisco GRE pour les tunnels réseau.
IPSec: Internet Protocol Security
Description: Suite de protocoles pour sécuriser les communications réseau au niveau IP.
Exemple: Utilisé pour chiffrer les données dans les tunnels VPN de site à site.
Menace: Mauvaise configuration pouvant exposer les données en clair.
Contre-mesure: Implémentation correcte avec AH et ESP (Encapsulation Security Payload).
NAT: Network Address Translation
Description: Technique utilisée pour traduire les adresses IP privées en adresses publiques, et vice versa.
Exemple: Un routeur NAT permet à plusieurs appareils d'un réseau local d'accéder à Internet en partageant une seule adresse IP publique.
Avantage: Protège les réseaux internes en masquant les adresses IP privées.
NIDS: Network Intrusion Detection System
Description: Système qui surveille le trafic réseau pour détecter des activités suspectes.
Exemple: Un NIDS peut détecter des tentatives de balayage de ports ou des attaques DoS.
Outils: Snort, Suricata.
NIPS: Network Intrusion Prevention System
Description: Extension du NIDS qui, en plus de détecter les menaces, les bloque automatiquement.
Exemple: Bloque une tentative d'injection SQL détectée dans le trafic réseau.
Outils: Palo Alto Networks, Cisco Firepower.
OSPF: Open Shortest Path First
Description: Protocole de routage dynamique utilisé pour trouver le chemin le plus court entre les réseaux.
Exemple: Utilisé dans les réseaux d'entreprise pour garantir une communication rapide et fiable entre les sous-réseaux.
Menace: Attaques de manipulation des routes (route poisoning).
Contre-mesure: Sécuriser les échanges OSPF avec des clés d'authentification.
VPN: Virtual Private Network
Description: Crée un tunnel sécurisé pour les communications sur un réseau non sécurisé.
Exemple: Utilisé pour le télétravail sécurisé.
Menace: Compromission des clés VPN ou fuites DNS.
Contre-mesure: MFA et politiques de rotation des clés.
Outils: OpenVPN, Cisco AnyConnect.
BGP: Border Gateway Protocol
Description: Protocole de routage utilisé pour échanger des routes entre réseaux.
Exemple: Utilisé par les FAI pour le routage Internet global.
Menace: Attaques BGP hijacking (détournement de trafic).
Contre-mesure: Utilisation de RPKI (Resource Public Key Infrastructure).
VLAN: Virtual Local Area Network
Description: Réseau logique créé sur un commutateur pour segmenter les réseaux physiques en sous-réseaux.
Exemple: Un VLAN peut isoler le trafic du service RH du reste du réseau de l'entreprise.
Avantage: Réduit les menaces internes en limitant la portée des attaques potentielles.
Outils associés: Configurations sur des commutateurs Cisco ou Juniper.
5. Identity and Access Management (IAM)
AAA: Authentication, Authorization, and Accounting
Description: Méthode pour contrôler l'accès, autoriser les actions, et tracer les activités des utilisateurs.
Exemple: Utilisé dans les réseaux sécurisés comme les VPN pour suivre les connexions utilisateur.
Outils: RADIUS, TACACS+.
IAM: Identity and Access Management
Description: Gestion des identités et des autorisations pour garantir que seules les personnes autorisées accèdent aux ressources appropriées.
Exemple: Implémentation d'un système SSO dans une entreprise.
Outils: Okta, Microsoft Azure AD, CyberArk.
TGT: Ticket Granting Ticket
Description: Élément clé de Kerberos, un système d'authentification sécurisé, utilisé pour fournir des sessions authentifiées.
Exemple: Un utilisateur obtient un TGT après s'être authentifié, qui est ensuite utilisé pour demander des accès à des ressources spécifiques.
OTP: One-Time Password
Description: Mot de passe à usage unique généré pour une seule session ou une seule transaction.
Exemple: Utilisé dans les systèmes bancaires pour valider des transactions en ligne.
Outils: Google Authenticator, Duo Mobile.
LDAP: Lightweight Directory Access Protocol
Description: Protocole pour interroger et gérer des informations dans des services d'annuaire, souvent utilisé pour la gestion des identités.
Exemple: Requêtes LDAP dans Active Directory pour rechercher un utilisateur.
Outils associés: OpenLDAP, Microsoft Active Directory.
KDC: Key Distribution Center
Description: Composant de Kerberos responsable de l'émission des clés cryptographiques et des tickets d'accès.
Exemple: Gère l'authentification des utilisateurs dans un domaine Active Directory.
Menace: Si compromis, un attaquant peut usurper des identités dans tout le domaine.
Contre-mesure: Sécuriser le KDC avec des mises à jour et des permissions strictes.
SSO: Single Sign-On
Description: Permet aux utilisateurs de s'authentifier une seule fois pour accéder à plusieurs applications ou services.
Exemple: Utilisation dans les entreprises pour accéder à des outils internes tels que Microsoft 365 et Salesforce avec un seul identifiant.
Outils: Okta, Azure AD, Ping Identity.
RBAC: Role-Based Access Control
Description: Contrôle d'accès basé sur des rôles prédéfinis au lieu de permissions individuelles.
Exemple: Un employé du département RH peut accéder aux données de paie mais pas aux informations techniques.
Avantage: Réduction des erreurs administratives grâce à la gestion centralisée des rôles.
MAC: Mandatory Access Control
Description: Modèle de contrôle d'accès où les administrateurs définissent des politiques strictes basées sur des classifications.
Exemple: Utilisé dans les systèmes militaires pour restreindre l'accès à des informations classifiées.
Lien avec la sécurité: Garantit que seules les personnes autorisées peuvent accéder à des ressources critiques, même si elles partagent un même système.
6. Security Assessment and Testing
ASLR: Address Space Layout Randomization
Description: Technique de sécurité qui rend imprévisible l'emplacement des zones mémoire d'un processus pour compliquer les exploits.
Exemple: Empêche un attaquant d'utiliser des adresses mémoire prévisibles pour exécuter du code malveillant.
Menace: Bypass ASLR avec des techniques avancées comme la fuite de mémoire (memory leaks).
SOAP: Simple Object Access Protocol
Description: Protocole pour échanger des informations structurées dans les services web.
Exemple: Utilisé dans des applications d'entreprise pour échanger des données XML entre serveurs.
Outils associés: Postman, SoapUI.
MTBF: Mean Time Between Failures
Description: Mesure statistique du temps moyen entre deux pannes d'un système ou d'un composant.
Exemple: Si un serveur tombe en panne toutes les 1000 heures en moyenne, son MTBF est de 1000 heures.
Lien avec la disponibilité: Utilisé pour évaluer la fiabilité des systèmes critiques.
MTD: Maximum Tolerable Downtime
Description: Durée maximale pendant laquelle une entreprise peut tolérer l'indisponibilité d'un service avant que cela ne cause des dommages irrémédiables.
Exemple: Pour un système bancaire, le MTD peut être de 2 heures.
FIM: File Integrity Monitoring
Description: Technologie qui surveille les fichiers système critiques pour détecter des modifications non autorisées.
Exemple: Détection de changements sur les fichiers de configuration d’un serveur web.
Outils: Tripwire, OSSEC.
UBA: User Behavior Analytics
Description: Analyse des comportements des utilisateurs pour identifier des anomalies pouvant indiquer des menaces internes.
Exemple: Un utilisateur télécharge un volume de données inhabituel, déclenchant une alerte.
Outils: Splunk UBA, Exabeam.
UEBA: User Entity Behavior Analytics
Description: Extension de l'UBA qui inclut les entités (machines, applications) en plus des utilisateurs pour détecter les anomalies.
Exemple: Une application tente de se connecter à un serveur auquel elle n'a jamais accédé auparavant.
Outils: Sumo Logic, Azure Sentinel.
SIEM: Security Information and Event Management
Description: Centralise les journaux de sécurité pour l'analyse et la détection des incidents.
Exemple: Permet de détecter des anomalies réseau ou des tentatives de connexion suspectes.
Outils: Splunk, ELK Stack, QRadar, Wazzuh.
7. Security Operations
SIEM: Security Information and Event Management
Description: Centralise les journaux de sécurité pour l'analyse et la détection des incidents.
Exemple: Permet de détecter des anomalies réseau ou des tentatives de connexion suspectes.
Outils: Splunk, ELK Stack, QRadar, Wazzuh.
IDS: Intrusion Detection System
Description: Système qui surveille le trafic réseau ou les activités système pour détecter des comportements suspects ou malveillants.
Exemple: Détecte une tentative d'accès non autorisé via une attaque brute force.
Outils: Snort, Suricata.
Lien avec IPS: Un IDS se contente de détecter, alors qu'un IPS peut prévenir.
IPS: Intrusion Prevention System
Description: Extension d'un IDS qui, en plus de détecter, bloque automatiquement les activités malveillantes.
Exemple: Bloque une tentative d'injection SQL détectée dans le trafic réseau.