Le Glossaire Cyber

Une cybermalveillance représente toute infraction commise par voie numérique. Il peut s’agir de phishing ou hameçonnage, de piratage d’un compte ou d’un équipement, d’usurpation d’identité, d’attaque par rançongiciel, etc.

Code ayant pour finalité d'afficher des bandeaux publicitaires par le biais du navigateur Internet de l'utilisateur. Remarque : Ce code est très souvent perçu comme une méthode envahissante. Il engendre dans de nombreux cas d’autres effets sur le système, comme l’apparition de fenêtres surgissantes (popups), la dégradation de la bande passante ou de la performance de la machine de l’utilisateur.

L’ANSSI est l’autorité nationale en matière de cybersécurité et de cyberdéfense. Son action vise à construire et organiser la protection de la Nation face aux cyberattaques. Rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), l’Agence est un service du Premier ministre, dont les activités sont exclusivement défensives.

L‘analyse de risque vise à apprécier les risques numériques qui pèsent sur une organisation - qu’elle soit publique ou privée - et à identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. L’ANSSI, avec le soutien du Club EBIOS, publie une méthode dédiée à cet exercice : EBIOS Risk Manger.

Développement capacitaire, renforcement capacitaire

Catégorie d'attaque où une personne malveillante s'interpose dans un échange, et de manière transparente pour les utilisateurs oules systèmes.

Type d'attaque par force brute exploitant des authentifiants précédemment exposés.

Processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les exigences d’un référentiel sontsatisfaites.

L’information est attribuée à son auteur légitime.

L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.

Support informatique et logistique d'un ou plusieurs guichets.

Accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur de se connecter à une machine distante, de manière furtive.

Technique qui consiste à envoyer des paquets de données sur les différents ports d’une machine, puis à en déduire les états (la disponibilité) de ces ports en fonction de la réponse retournée, si elle existe.

Données structurées ou non dont le très grand volume requiert des outils d'analyse adaptés.

Véritable registre de comptes numériques reposant sur la confiance, la chaîne de blocs (blockchain), permet une gestion collaborative et sans intermédiaire (État, banque, notaire, etc.) des transactions qui s’opèrent entre différents acteurs. Cette technologie repose sur un procédé cryptographique qui assemble ces transactions pour former des « blocs» qui, une fois validés par ce même procédé, sont ajoutés à la chaîne de blocs à laquelle ont accès les utilisateurs. On compte parmi ces transactions l’échange de cybermonnaie (ou monnaie cryptographique) comme le bitcoin auquel on doit la popularisation de laBlockchain.

Site Internet, souvent personnel présentant en ordre chronologique de courts articles ou notes, souvent accompagnés de liens vers d'autres sites.

Envoi d’une grande quantité de courriels à un destinataire unique dans une intention malveillante. Forme particulière de déni de service contre les systèmes de courriers électroniques.

Logiciel malveillant conçu pour causer des dommages à un système informatique et qui est déclenchélorsque certaines conditions sont réunies. Certains virus contiennent une fonction de bombe logique : déclenchement à date fixe, ou quand une adresse réticulaire (URL) particulière est renseignée dans lenavigateur.

Processus de démarrage (ou redémarrage) d’un ordinateur via un matériel (par exemple, le bouton de démarrage sur l’ordinateur) ou via une commande logicielle.

Maliciel qui infecte le processus de démarrage du système d’exploitation et permet ainsi d’en prendre le contrôle.

Réseau de machines distinctes (ordinateurs ou téléphones intelligents) utilisé à des fins malveillantes (attaques DDoS, campagnes de pourriels, diffusion de programmes malveillants) et souvent à l'insu de leurs utilisateurs légitimes.

Appareil permettant d'accéder, à partir de terminaux, à plusieurs services de communication (Internet,téléphonie, télévision et stockage).

Défaut de conception ou de réalisation se manifestant par des anomalies de fonctionnement.

Appel à des spécialistes qui recherchent des vulnérabilités dans des applications ou des configurations de serveur en échange d’une gratification pour les découvertes et remontées.

Se dit de l'utilisation dans un cadre professionnel, d'un matériel personnel comme un téléphone intelligent ou un ordinateur.

Canal de communication qui permet à un processus malveillant de transférer des informations d'une manière dissimulée. Le canal assure une communication par l'exploitation d'un mécanisme quin'est pas censé servir à la communication

Information vraie ou fausse, souvent transmise par messagerie électronique ou dans un forum, et incitant les destinataires à effectuer des opérations ou à prendre des initiatives, souvent dommageables.

Capacité de supervision de la sécurité global et maîtrisé. Pour faire de la détection, les experts de se basent sur leur expertise de la menace stratégique et sur leur connaissance des techniques d’attaque de masse. Les experts cherchent ainsi à détecter des marqueurs techniques propres à certains attaquants, tels que l’adresse IP d’un serveur malveillantou le nom d’un site Internet piégé.

Représentation visuelle (exemple : radar, diagramme de Farmer) des risques issus des activitésd’appréciation du risque.

La certification est l’attestation de la robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.

Programme donnant l’impression d’avoir une fonction utile, mais qui possède par ailleurs une fonction cachée et potentiellement malveillante.

Transformation cryptographique de données produisant un cryptogramme.

Le chiffrement asymétrique est un protocole de cryptographie qui utilise deux clés distinctes.

Le chiffrement symétrique permet à la fois de chiffrer et de déchiffrer des messages à l'aide d'un même mot clé.

CERT National américain

Modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiquespartagées et configurables.

Tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) à des fins malveillantes.

Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Maliciel/logiciel malveillant

La CNIL est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés. Ainsi, elle est chargée de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni auxlibertés individuelles ou publiques.

Centre de réponse aux incident cyber. Nom déposé. On utilise généralement directement le sigle.

Centre de réponse aux incidents cyber, appellation privilégiée en Europe. On utilise généralement directement le sigle.

La transformation numérique de la société amène à un développement massif des échanges par voie dématérialisée, mettant en exergue le besoin d’un cyberespace de confiance à même de garantir la sécurité de ces échanges, en assurant notamment la fiabilité des informations transmises, l’innocuité des services utilisés et plus largement le respect de la vie privée des citoyens.

Petit fichier installé sur le disque dur lors de la consultation d'un site Internet, qui permet au serveur de mémoriser des informations sur l'internaute et son comportement.

Attaque provoquant l'envoi de requêtes, par la victime, vers un site vulnérable, à son insu et en son nom.

Processus de déchiffrement de données protégées au moyen de cryptographie sans être en possession des clés de chiffrement.

La cryptographie permet la transformation, au moyen d’un algorithme de chiffrement, d’un message clair en un message chiffré dans le but d’assurer la disponibilité, la confidentialité et l’intégrité des données échangées. Deux interlocuteurs peuvent ainsi échanger de manière confidentielle et sécurisée, pourvu qu’ils possèdent la clé leur permettant de chiffrer et/ou de déchiffrer leurs messages. La cryptographie sert aussi d’autres applications telles que l’authentification et la signature (numérique) des messages, ayant toutes pour finalité – chiffrement compris – le traitement, le stockage ou la transmission sécurisée de données.

Science englobant la cryptographieet la cryptanalyse.

Le terme cybermonnaie désigne une monnaie virtuelle qui permet aux usagers d’échanger de l’argent de façon anonyme et sans intermédiaire. Son fonctionnement repose un registre de comptes numériques – la blockchain – qui valide les transactions et émet la devise selon des principes cryptographiques. Plusieurs cybermonnaies sont aujourd’hui en circulation parmi lesquelles la plus connue : le bitcoin.

Une cyberattaque consiste à porter atteinte à un ou plusieurs systèmes informatiques dans le but de satisfaire des intérêts malveillants. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou liés par réseaux, connectés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des moyens de communication comme les smartphones, les tablettes et les objets connectés. La sécurité de ces dispositifs informatiques est mise en danger soit par voie informatique (virus, logiciel malveillant, etc.), soit par manipulation, soit par voie physique (effraction, destruction). Les quatre grandes finalités descyberattaques sont : l’appât du gain, la déstabilisation, l’espionnage et lesabotage.

Actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible.

Ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d’information jugés essentiels.

Espace de communication constitué par l’interconnexion mondiale d’équipements de traitementautomatisé de données numériques.

Etat recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.

Enregistrer un nom de domaine dans le seul but de bloquer toute attribution ultérieure de ce nom au profit de titulaires plus naturels ou légitimes.

Internet qui nécessite l'utilisation d'un protocole particulier (chiffrement, proxy etc).

Action de contourner les protections d'un système pour supprimer les restrictions d'utilisation mises en place par le constructeur.

Internet inaccessible au moteur de recherche.

Altération par un attaquant de l’apparence ou du contenu d’un site Internet. L’attaquant peut faire figurer des informations, des slogans ou des images sans lien avec l’objet du site attaqué. Les attaques par défiguration sont souvent menées à des fins de déstabilisation. Des hacktivistes peuvent y avoir recours.

Intitulé du poste des agents de la division coordination territoriale.

Démonstration de la faisabilité d’une attaque utilisant une vulnérabilité donnée.

DDoS est souvent utilisé en français. Action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu. https://cyber.gouv.fr/publications/c omprendre-et-anticiper-les-attaques-ddos

Technique d’exploitation d’une vulnérabilité dans le code d’un programme qui ne vérifie pas correctement la taille de certaines données qu’il manipule.

Action visant à fragiliser l’équilibre ou le bon fonctionnement de processus et d'institutions avec une volonté derésonnance.

Il est préférable d’utiliser en français l’expression complète« Détection d’intrusion ».

Service de supervision de la sécurité global et maîtrisé. Recherche de marqueurs techniques propres à certains attaquants, tels que l’adresse IP d’un serveur malveillant ou le nom d’un site Internet piégé.

La directive NIS 2 vise à renforcer le niveau de cybersécurité des tissus économique et administratif des pays membres de l'UE.

Modification d'un serveur DNS, dans le but de rediriger un nom de domaine vers une adresse IP différente de l'adresse légitime.

Extension pour la sécurité du protocole DNS

Système de bases de données et de serveurs assurant la correspondance entre les noms de domaine ou de sites utilisés par les internautes et les adresses numériques utilisables par les ordinateurs.Par exemple, le DNS établit la correspondance entre le domaine« cert.ssi.gouv.fr » et l’adresse 213.56.176.2. Ce système permet aux internautes d’utiliser, dans la rédaction des adresses, des noms faciles à retenir au lieu de la suite dechiffres du protocole IP.

Toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.Une personne physique peut être identifiée directement (exemple : nom et prénom) ; indirectement (exemple : par un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, maisaussi la voix ou l’image).

Méthode d’analyse de risque française de référence, permet aux organisations de réaliser une appréciation et un traitement desrisques.

Obtention de privilège supérieur par exploitation d’une vulnérabilité. Par exemple, si un utilisateur local accède à des droits normalement réservés à l’administrateur, il y a élévation de privilège. Une élévation de privilège est souvent recherchée par une personne malveillante lorsqu’elle a réussi à s’introduire sur un système d’information en usurpant l’identité d’un utilisateur légitime.

Logiciel ou matériel employé par un utilisateur malveillant pour capturer ce qu'une personne frappe au clavier.

Logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement sur lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu dupropriétaire et de l’utilisateur.

Type d’attaque consistant pour un attaquant à prendre pied discrètement dans le système d’information de la victime pour en exfiltrer de l’information stratégique pour l’entreprise. Une telle attaque, souvent sophistiquée, peut durer plusieurs années avant d’être détectée.

Ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origineréglementaire.

L’état de la menace caractérise, sur une période et un périmètre donnés, la nature et le niveau de risque atteints selon différentes variables telles que le type de menace, les acteurs concernés, les tendances observées, les modes opératoires à l’œuvre, les objectifs visés ou encore les moyens disponibles. Pour dresser ce panorama, l’ANSSI s’appuie sur une typologie de la menace en quatre catégories : cybercriminalité, déstabilisation, espionnage, sabotage.

Evènements portés à la connaissance de l’ANSSI et qui ont donné lieu à un traitement par les équipesopérationnelles.

Mise en œuvre de commandes à distance sur un ordinateur, à l’insu de son utilisateur légitime.

Vol ou transfert non autorisé des données depuis un terminal ou un réseau.

Vulnérabilité dans un système informatique permettant à un attaquant de porter atteinte à son fonctionnement normal, à la confidentialité ou à l’intégrité desdonnées qu’il contient.

Qualification erronée d'un évènement en tant qu'évènement de sécurité d’origine cyber.

Technique d'attaque consistant à utiliser un nombre exhaustif d'authentifiant générés aléatoirement afin de deviner le bonmot de passe.

Entreprise ou personne dont l’activité est d’offrir un accès à des services de communication au public en ligne, autrement dit à l’internet.

Activité frauduleuse qui vise à pirater des cartes bancaires, notamment depuis des distributeurs de billets.

Interface permettant d'accéder aux services en ligne.

Fonction cryptographique qui transforme une chaîne de caractères de taille quelconque en une chaîne de caractères de taille fixe et généralement inférieure. Cette fonction satisfait entre autres deux propriétés :la fonction est « à sens unique » : il est difficile pour une image de la fonction donnée de calculer l’antécédent associé.La fonction est « sans collision » : il est difficile de trouver deux antécédents différents de la fonction ayant la même image.

Individus ayant pour ’objectif de véhiculer des messages et idéologies en ayant recours à différentes cyberattaques pour amplifier l’échode leur action.

Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l'organisation ciblée.

L’homologation est délivrée par une autorité d’homologation pour un système d’information avant sa mise en service opérationnel.L’homologation permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré. Elle est imposée pour les systèmes d’information traitant des informations classifiées (IGI 1300) ou pour les télé-services dans le cadre du Référentiel Général de Sécurité(RGS).

Dispositif informatique placé au nœud d'un réseau étoile, qui concentre et distribue les communications des données.

L'iframe ou inline frame est une balise HTML utilisée pour insérer un document HTML dans une page HTML.

Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.Dans la taxonomie de l’ANSSI : Evènements de sécurité pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d’informationde la victime.

Dans la taxonomie de l’ANSSI, un incident majeur est un incident dont la gravité et l’impact nécessite une intervention importante de l’ANSSI.

Information technique, telle que l’adresse IP d’un serveur malveillant ou le nom d’un site Internet piégé, permettant de détecter et de caractériser une attaque. Le partage de ces éléments de connaissance permet notamment d'empêcher des compromissions futures. En revanche, de telles informations ne doivent parfois pas être communiquées si l’attaque a été judiciarisée.

Prise en charge contractuelle, par un prestataire extérieur, d'une partie ou de la totalité des ressources informatiques d'une entreprise.

Modèle permettant l’accès, généralement à la demande et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.

Outil cryptographique permettant de garantir l’authenticité des clés publiques par la signature électronique d’autorités de certification organisées de façon hiérarchique. Une ICP est l’un des outils fondamentaux d’une IGC.

Ensemble organisé de composantes fournissant des services de gestion des clés cryptographiques et des certificats de clés publiques au profit d’une communauté d’utilisateurs.

Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Remarque : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du systèmed’information.

Activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l’utilisateur vers d’autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc.) ou des droits.

Garantie que le système et l’information traitée ne sont modifiés que par une actionvolontaire et légitime.

L’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.

Logiciel ou matériel employé par un utilisateur malveillant pour capturer ce qu'une personne frappe au clavier.

Ensemble d'actions de vérification effectué pour confirmer ou infirmer une alerte ou un signalement de sécurité informatique.

Il s’agit de systèmes de protection qui s’installent sur un ordinateur et qui permettent notamment de bloquer l’accès aux sites inappropriés aux plus jeunes.Certains permettent également de paramétrer l’accès à l’internet (plages horaires, durée, applications…). Tout ordinateur personnel utilisé par un mineur devrait en être équipé (voir résultats du comparatif des principauxlogiciels existants sur le marché).

Nom français de la loi à utiliser a minima pour la première occurrence.Sans objet

Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau.

Attaque donnant un accès distant au réseau via les espaces en nuage, permettant d'exfiltrer des données et d'exécuter des commandesarbitraires.

Catégorie d’attaque où une personne malveillante s’interpose dans un échange de manière transparente pour les utilisateurs ou les systèmes. Remarque : La connexion est maintenue, soit en substituant les éléments transférés, soit en les réinjectant. Une attaque connue dans cette catégorie repose sur une compromission des tables ARP (ARP Poisoning). Contrer les attaques par le milieu est aussi l’un des objectifs des infrastructures de gestion de clés.

Information technique, telle que l’adresse IP d’un serveur malveillant ou le nom d’un site Internet piégé, permettant de détecter et de caractériser une attaque. Le partage de ces éléments de connaissance permet notamment d'empêcher des compromissions futures. En revanche, de telles informations ne doivent parfois pas être communiquées si l’attaque a étéjudiciarisée.

Terme générique utilisé pour désigner toute intention hostile de nuire dans le cyber espace. Une menace peut être ciblée ou non sur l’objet de l’étude.

Blogue constitué de minimessages diffusés en temps réel, qui contiennent souvent des mots-dièse et dont l'enchaînement forme des fils de discussion.

Signature de l’attaquant, sa façon d’opérer pour cibler et attaquer ses victimes.

Le modèle français de cybersécurité et de cyberdéfense repose sur une séparation claire, au sein de l’État, entre les missions défensives et offensives.

Le Mois européen de la cybersécurité est une initiative conçue par l’Agence de l’Union européenne pour la cybersécurité (ENISA). Elle vise à promouvoir le sujet de la cybersécurité à travers les pays de l’UE pour permettre de mieux comprendre les menaces etles appréhender.

Action qui consiste à parcourir un grand nombre de ressources publiques (pages internet, groupes de discussion, etc.), afin d’y collecter les adresses électroniques avec des intentions malveillantes.Remarque : Les adresses récupérées sont utilisées, par exemple, pour envoyer des courriels contenant des virus, des canulars ou des pourriels. Une méthode pour s’en prémunir est de présenter sur ces ressources publiques une adresse électronique qui trompe les outils de recherche (comme prenom.nom_AT_domain.fr pour les outils cherchant ’@’, caractéristique d’une adresse) ; ceciest appelé address munging.

Un mot de passe est un élément de déverrouillage servant dans la vérification de l’identité annoncée d’une personne par un système d’information.

Support graphique implanté dans une page internet ou un courriel, qui a pour objectif de surveiller la consultation de cette page ou de ce courriel, à l’insu des lecteurs.Remarque : ces supports sont souvent invisibles, car beaucoup sont paramétrés avec une taille très petite (1X1 pixel). Ils sont aussi fréquemment représentés par desbalises HTML IMG.

Le nomadisme numérique désigne toute forme d’utilisation des technologies de l’information permettant à un utilisateur d’accéder au SI de son entité d’appartenance ou d’emploi, depuis des lieux distants, ces lieux n’étantpas maîtrisés par l’entité.

Une des parties fondamentales de certains systèmes d'exploitation. Il gère les ressources de l'ordinateur et permet aux différents composants (matériels et logiciels) de communiquer entre eux.

Logiciel qui compose automatiquement des numéros de téléphone.Remarque : les numéroteurs sont souvent proposés pour accéder à des sites à caractères pornographique (appels surtaxés). Par extension, un war dialer est une application composant une liste de numéros, et qui enregistre ceux retournant une tonalité spéciale,comme un modem ou un fax.

Un opérateur d'importance vitale (OIV) est, en France, une organisation identifiée par l'État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population.

Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie oude la société.

Dans la taxonomie de l’ANSSI, une opération de cyberdéfense constitue le niveau maximal d’engagement de l’Agence dans le traitement d’un événement de sécurité. Cet engagement est réservé aux événements dont la gravité et la complexité sont significatives.

Un pare-feu (ou garde barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par desprogrammes ou des personnes.

Fait de tenter l'ouverture de plusieurs comptes avec un seul mot de passe, souvent très utilisé.

Réseau où chaque entité est à la fois client et serveur. Réseau d’échange et de partage de fichiers de particulier à particulier.

Vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime. Les sites sont reproduits, après avoir été aspirés. L’utilisateur est souvent invité à visiter le site frauduleux par un courrier électronique.

On appelle communément pirate l’auteur d’une attaque informatique.

Ensemble de procédures documentées servant de guides aux entités pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la suited’une perturbation.

Plan visant à la reconstruction d'un SI à la suite d'une attaque.

Procédures documentées permettant aux entités de rétablir et de reprendre leurs activités en s’appuyant sur des mesures temporaires adoptées pour répondre aux exigences métier habituelles après un incident.

Ce type d’attaque est destiné à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée. La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant. Les cas sont nombreux de sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres, et permettre ainsi d’accéder aux réseaux les plus sensibles de ceux-ci. Les secteurs les plus stratégiques sont évidemmentles plus ciblés.

Se dit d’un ver ou d’un virus dont le code est chiffré, changeant le code de déchiffrement d’une infection à l’autre, et donc l’apparence et/ou la signature.

Code numérique utilisé dans les protocoles comme TCP ou UDP pour identifier à quel service appartient un paquet d’information du protocole IP. Par exemple, le service http est associé au port 80. La notion de port peut être assimilée à une porte donnant accès au système d’exploitation.

Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits. La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, auditorganisationnel et physique.

Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents. La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détectiond’incidents de sécurité.

Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents. La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau etanalyse de codes malveillants.

Entité proposant une offre de service de sécurité des systèmes d’information conforme auréférentiel.

Les référentiels d’exigences relatifs aux prestataires de services de confiance formalisent les règles applicables aux organismes désirant obtenir une qualification dans les domaines suivants : délivrance de certificats électroniques, horodatage électronique, validation des signatures et cachets électroniques, conservation des signatures et cachets électroniques, envoirecommandé électronique.

Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposentaux prestataires qui désirent obtenir

Le référentiel PACS a pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information, et notamment d’homologation de sécurité, de gestion des risques, de conception d’architectures sécurisées, et de préparation à la gestion de crisesd’origine cyber.

Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestatairesd’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations.

Dispositif matériel ou logiciel conçu pour protéger la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que les systèmes d’informationoffrent ou qu’ils rendent accessibles.

La communication sur l’internet est fondée sur un protocole appelé IP pour Internet Protocol qui permet aux ordinateurs de communiquer entre eux.

Son objectif est de s’assurer qu’un produit de sécurité (matériel ou logiciel) ou qu’un prestataire de services de confiance répond aux besoins de l’administration.

Programme malveillant dont le but estd’obtenir de la victime le paiement d’une rançon. Les rançongiciels figurent au catalogue des outils auxquels ont recours les cybercriminels motivés par l’appât du gain. Lors d’une attaque par rançongiciel, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données.Ressources : https://cyber.gouv.fr/sites/default/fil es/2022- 08/rancongiciel_infographie_anssi%5 B1%5D.pdfRançongiciel ou ransomware, que faire ? : https://www.cybermalveillance.gouv. fr/tous-nos-contenus/fiches- reflexes/rancongiciels-ransomwares https://cyber.gouv.fr/publications/att aques-par-rancongiciels-tous-concernes

La reconstruction est une activité support à la remédiation ayant pour objectif de lui fournir les moyens informatiques nécessaires à la remise en fonction et en conditions de sécurité du systèmed’information.

une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service)et IaaS (Infrastructure as a service.

Ensemble des règles établies par l’ANSSI et prévues par l’ordonnance no 2005-1516 du 8 décembre 2005« relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives » que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialitéou encore l’horodatage.

Une règle de détection est une combinaison de symptômes observables au niveau d'une source de données, dont la survenue est caractéristique d'une activité suspecte ou malveillante. Selon la méthode de détection et le niveau de sophistication de la règle de détection utilisée pour caractériser les événements malveillants, on parle également de marqueur, de signature d'attaque, ou de règle comportementale.

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. La CNIL est notamment en charge de traiter les plaintes et de développer de nouveaux outils de conformité pour garantir à tous la protection des données personnelles.Ressource : https://www.cnil.fr/fr

La remédiation consiste en la reprise de contrôle d’un système d’information compromis et le rétablissement d'un état de fonctionnement suffisant du service. La remédiation est l’une des dimensions majeures de la réponse à incident suite à une attaque cyber, avec l’investigation et la gestion de crise. C’est un travail qui commence dès l’endiguement de l’action adverse et qui peut s’étendre sur plusieurs mois. (Site ANSSI)

Cf définition de « Remédiation »

Outil matériel ou logiciel dont l’objet est de capturer les trames transitant sur le réseau.Remarque : Si les trames contiennent des données non chiffrées, un utilisateur malveillant peut aisément récupérer des données confidentielles, comme des mots de passe, des courriers électroniques, des contenus de pages internet, etc. L’utilisateur malveillant peut aussi, à partir des trames, récupérer des informations sur les systèmes échangeant les trames, comme le système d’exploitation ou lesservices employés.

Réseau de machines compromises communiquant entre elles, utilisées par un groupe d’attaquants afin derendre ses opérations plus furtives.

En informatique, capacité d’un système d’information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l’incident.

Livre blanc de la cyberdéfense, il est un grand exercice de synthèse stratégique dans ce domaine.

Tout programme ou ensemble de programmes permettant à une personne de maintenir un contrôle illégitime du système d'information en y dissimulant ses activités.L'installation de ces programmes nécessite que le système soitpréalablement compromis.

Une opération de sabotage consiste, pour un individu ou un groupe d’individus, à conduire une attaque génératrice de dommages sur le système d’information de l’entité ciblée pouvant aller jusqu’à le rendre inopérant. Les conséquences d’une telle opération peuvent être désastreuses, en particulier si cette opération touche un secteur d’importance vitale comme la santé,le transport ou encore l’énergie.

Technique servant à rechercher des appareils connectés spécifiques ainsi que des informations relatives à ceux-ci. Cette technique peut également servir à identifier la présence de vulnérabilités connues sur des systèmes exposés.

Placé au cœur de l’exécutif, le SGDSN, qui lui est rattaché, assiste le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. Il assure le secrétariat des conseils de défense et de sécurité nationale que préside le chef de l’Etat. Il agit ainsi en appui de la prise de décision politique. Son champ d’intervention couvre l’ensemble des questions stratégiques de défense et de sécurité, dans le domaine de la programmation militaire, de la politique de dissuasion, de la sécurité intérieure concourant à la sécurité nationale, de la sécurité économique et énergétique, de la lutte contre le terrorisme et de laplanification des réponses aux crises.

À la suite des attentats du 11 septembre 2001, la France a engagé une réflexion sur la notion d’infrastructure critique afin de moderniser la protection des points et des réseaux sensibles. Le décret du 23 février 2006↗ définit les activités d’importance vitale comme« un ensemble d’activités, essentielles et difficilement substituables ou remplaçables, concourant à un même objectif ou visant à produire et à distribuer des biens ou des services indispensables». Douze secteurs d’activité d’importance vitale ont été définis dans un arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008, au sein desquels ont identifiés des Opérateurs d’importance vitale (OIV) chargés de la protection de leur Point d’importance vitale (PIV). Chaque secteur est rattaché à un ministère coordonnateur chargé du pilotage des travaux et desconsultations.

Ensemble des moyens techniques et non-techniques de protection permettant à un système d’information d’assurer la disponibilité, l’intégrité et la confidentialité des données, traitées ou transmises, et des services connexes que ces systèmes offrentou rendent accessibles.

La racine, en informatique, est le point de départ d’une arborescence. Il existe actuellement 13 serveurs de noms de la racine répartis dans le monde : ces serveurs hébergent les permettant le bon fonctionnement du Système d’adressage par domaines (DNS) et des services qui utilisent ce système : internet, courrier électronique…

Cf « Prestataire de service de confiance »

Désigne des SI réalisés et mis en œuvre au sein d'organisations sans l'approbation de la DSI.

Dans la taxonomie de l’ANSSI, un signalement est un événement de sécurité d’origine cyber avec un impact pour le SI de la victime bas (ex : hammeçonage), requérant uneintervention minimum de l’Agence.

On qualifie de signalement d’incident toute description détaillée des caractéristiques techniques d’un ou plusieurs événements de sécurité susceptibles de conduire à la découverte d’un incident de sécurité survenu sur le système d’information d’une organisation donnée.

La sous-direction Expertise élabore et diffuse les bonnes pratiques et contribue à améliorer l’offre de produits et services cyber, pour accompagner la sécurisation des bénéficiaires de l’Agence.

La sous-direction Opérations assure, au niveau opératif et tactique, la mise en œuvre de la fonction d’autorité de défense des systèmes numériques d’intérêt pour la nation dévolue à l’ANSSI. Elle constitue le centre opérationnel de la sécuritédes systèmes d’information.

A vocation transverse, la sous- direction Ressources (SDR) est responsable de la programmation et de l’exécution des activités de gestion et de pilotage des ressources financières, humaines, mobilières et immobilières, et de l’expertise et de l’accompagnement légal. A travers son activité la sous-direction Ressources soutient l’activité de l’Agence. Elle est l’interlocuteur privilégié du service de l’administration générale du SGDSN.

La sous-direction Stratégie anime le processus de planification stratégique au sein de l’Agence, en assurant notamment le secrétariat du comité directeur de la stratégie. Elle développe et pilote la contribution de l’Agence à l’élaboration et à la mise en œuvre des politiques publiques en faveur de la sécurité du numérique ; communique vers l’ensemble des publics sur les enjeux de sécurité numérique, notamment à des fins de sensibilisation, et met à leur service les capacités de l’Agence, dans lerespect des priorités nationales.

Tout courrier électronique non sollicité par le destinataire. Le courrier est souvent envoyé simultanément à un très grand nombre d’adresses électroniques. Les produits les plus vantés sont les services pornographiques, la spéculation boursière, desmédicaments, le crédit financier etc.

Ce type d’attaque consiste à compromettre un tiers, comme un fournisseur de services logiciels ou un prestataire, afin de cibler la victime finale. Cette technique est éprouvée et exploitée par plusieurs acteurs étatiques et cybercriminels depuis au moins 2016. Cette méthode présente un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier ou une zone géographique précise notamment lorsque l’attaque cible un fournisseur de logiciels largement répandus, une entreprise de service numérique (ESN) locale ou spécialisée dans un secteur d’activité particulier.

Système complet embarqué sur une seule puce, pouvant comprendre, de la mémoire, un ou plusieurs microprocesseurs, des périphériques d'interface, etc…

Ensemble organisé de ressources (matériels, logiciels, personnels, données et procédures) permettant de traiter et de diffuser de l’information.

C’est l’ensemble des ressources matérielles et logicielles nécessaires pour réaliser les tâches d’administration. Il inclut le système d’exploitation du poste de travail utilisé pour les tâches d’administration qui peut être soit l’unique système d’exploitation d’un poste de travail physiquement dédié, soit l’environnement d’exécution dans le cas d’un poste de travail mettant en œuvre une virtualisation légère, soit le système d’exploitation de la machine virtuelle d’un poste detravail virtualisé.

Ce sont les « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

Un système de détection d'intrusion (Intrusion Detection System - IDS) est un dispositif logiciel ou matériel dont le rôle est de capter, puis d'analyser, l'activité d'un système numérique, dans le but de détecter les attaques ou les signes de compromission dont ce dernier est la cible. Un IDS se caractérise par la source de donnée utilisée pour capter l'activité d'un système (réseau, système, applicative) et par la méthode de détection employée pour distinguer les activitésmalveillantes des activités légitimes.

On appelle tâche d’administration d’un système d’information les opérations de configurations, maintenance, évolution du système d’infirmation administré, supervisionou gestion de la sécurité.

Action qui consiste à essayer plusieurs codes d’exploitation sur un système d’information, afin de déterminer ceux qui donnent des résultats positifs. Remarque : il s’agit à la fois d’une intention défensive (mieux se protéger) et d’une action offensive (agresser son propre système d’information).

Action malveillante qui consiste à déposer un nom de domaine très proche d’un autre nom de domaine, dont seuls un ou deux caractères diffèrent.

Action malveillante qui consiste à utiliser délibérément l'adresse d'un autre système en lieu et place de lasienne.

Technique permettant à un attaquant de contourner la double authentification pour associer une carte SIM de la victime au numéro de téléphone d'un attaquant.

Moyen d’accès utilisé par un acteur malveillant pour exploiter les failles de sécurité et accéder à un serveur ou un équipement (pièces jointes, pages Internet, vulnérabilités non corrigées).

Supervision opérationnelle

Un ver est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.

Programme dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, ...) et, souvent, d'en atteindre ou d'en parasiter les ressources (données, mémoire, réseau). Il s'implante au sein de programmes, se duplique à l'insu des utilisateurs, et peut nécessiter l'intervention explicite de ces derniers pour se propager (ouverture d'un courrier électronique, lancement d'un programme exécutable, etc.).

Les Visas de sécurité que délivre l’ANSSI permettent d’identifier facilement les plus fiables d’entre elles et reconnues comme telles àl’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée.

Technologie qui permet de véhiculer la voix de l’Internet ou tout autre réseau acceptant le protocole TCP/IP. Cette technologie est notamment utilisée par le service téléphonie IP (ToIP- telephony over internet protocol) à travers des logiciels.

Interconnexion de réseaux locaux via une technique de tunnel sécurisé ou non, généralement à travers Internet.

Faille de sécurité pouvant affecter un logiciel, un système d’information ou encore un composant matériel. Elle peut servir de porte d’entrée pour des acteurs malveillants s’ils parviennent à l’exploiter. Les vulnérabilités sont généralement corrigées lors des mises à jour ou par des correctifs publiés par les éditeurs.

Vulnérabilité n'ayant fait l'objet d'aucune publication ou n'ayantreçu aucun correctif.

Caméra numérique, reliée à un ordinateur, qui permet de filmer et de diffuser en temps réel desvidéos sur un réseau.

Type de fichier malveillant, exécuté comme un code par un serveur web, qui permet un accès et un contrôle à distance à un serveur Web en permettant l'exécution de commandes arbitraires. Bien préciser que cela permet à l'attaquant d'obtenir un accès à distance à la machine compromise (ex : Un attaquant pourrait exploiter cette vulnérabilité pour obtenir un accès à distance au serveur de la victime via une console web malveillante).

Technologie de réseau informatique sans fil pouvant fonctionner pour construire un réseau interne accédant à Internet à haut débit.

Vulnérabilité n'ayant fait l'objet d'aucune publication ou n'ayant reçu aucun correctif.