Glossaire des risques numériques

AIPD : Analyse d'Impact pour la Protection de données afin d'identifier les éventuels risques.

ANSSI : Agence nationale de la sécurité des systèmes d'information. C'est l'autorité compétente en matière de cybersécurité et de cyberdéfense au niveau national. En savoir plus

Archivage à valeur probante : Archivage conforme aux exigences légales garantissant l’intégrité, la traçabilité et l’authenticité des documents électroniques. En savoir plus

Archivage électronique : Processus structuré visant à conserver des documents numériques de manière sécurisée, intègre et pérenne dans le temps. En savoir plus

Audit d'architecture : Evaluation approfondie de l'infrastructure informatique. L’audit d’architecture s’inscrit en général dans un cycle d’audit complet et est souvent effectué en préambule de tests d’intrusion ou d’audit de configuration. En savoir plus

Audit de code : Pratique consistant à parcourir le code source d'un logiciel afin de détecter les erreurs de conception pouvant générer une non-conformité et identifier les chemins d'attaques potentiels. En savoir plus

Audit de configuration : Audit ayant pour objectif de mettre en conformité l’infrastructure avec les référentiels internes existants. En savoir plus

Audit PASSI Architecture : Évaluation des infrastructures techniques, segmentation, flux réseau, interconnexions. En savoir plus

Audit PASSI Code Source : Analyse statique et dynamique de la sécurité du code applicatif (web, mobile, logiciel métier). En savoir plus

Audit PASSI Configuration : Vérification de la conformité des composants techniques (systèmes, équipements, logiciels) aux bonnes pratiques de durcissement. En savoir plus

Audit PASSI Organisation et Physique : Analyse des processus, rôles, responsabilités, et gouvernance de la sécurité de l’information. En savoir plus

Autorité nationale compétente (NCA) : Organisme désigné dans chaque État membre pour superviser et appliquer la directive NIS2.

Centre d'évaluation PVID : Entité habilitée par l’ANSSI à évaluer les prestataires de vérification d’identité à distance, afin d'assurer leur conformité au référentiel de sécurité PVID. En savoir plus

Centre d'évaluation PACS : Entité habilitée par l’ANSSI à évaluer les prestataires d’archivage de confiance sécurisé, selon les exigences du référentiel PACS. En savoir plus

Centre d'évaluation PAMS : Entité habilitée par l’ANSSI à évaluer les prestataires d’administration de la sécurité pour garantir leur conformité au référentiel PAMS. En savoir plus

Centre d'évaluation PASSI 2.2 : Le centre d’évaluation PASSI de l’ANSSI est une entité habilitée à évaluer les prestataires d’audit de sécurité selon le référentiel PASSI, afin de garantir leur conformité aux exigences de l’ANSSI. En savoir plus

Centre d'évaluation PDIS : Centre qui évalue les prestataires chargés de détecter les incidents sur des systèmes d'information sensibles, conformément au référentiel PDIS. En savoir plus

Centre d'évaluation PRIS : Entité habilitée à évaluer la capacité des prestataires à répondre efficacement aux incidents de cybersécurité selon les exigences du référentiel PRIS. En savoir plus

Centre d'évaluation SecnumCloud : Entité habillitée chargée d’évaluer la conformité des fournisseurs de services cloud au référentiel de sécurité SecNumCloud, en vue de leur qualification officielle par l’ANSSI. En savoir plus

CERT/CSIRT : Computer Security Incident Response Team : Équipes de réponse aux incidents de cybersécurité, coordonnées au niveau national et européen.

Certification DPO : Certification au métier de DPO (Délégué à la Protection des Données). En savoir plus

Certification ISO 27001 : Reconnaissance officielle qu’un système de management de la sécurité de l’information (SMSI) respecte les meilleures pratiques internationales. En savoir plus

CNIL : Commission Nationale de l'Informatique et des Libertés. Autorité compétente chargée de veiller à la protection des données personnelles. En savoir plus

Critères Communs : Ensemble de normes (ISO 15408) internationalement reconnues dont l'objectif est d'évaluer de façon impartiale la sécurité des systèmes et des logiciels informatiques. En savoir plus

Cryptographie : Ensemble de techniques de chiffrement garantissant la confidentialité, l’intégrité et l’authenticité des données. En savoir plus

CSPN : Certificat de Sécurité Premier Niveau : certification délivrée par l'ANSSI et simplifiée par rapport aux critères communs. En savoir plus

Cybersécurité : Ensemble des pratiques, outils et processus visant à protéger les systèmes informatiques et les données contre les cybermenaces. En savoir plus

Cybersécurité des chaînes d’approvisionnement : NIS2 impose aux entités d’évaluer les risques numériques de leurs fournisseurs et prestataires IT critiques.

Datascience : Discipline qui collecte, traite, analyse et permet l'interprétation des données par de l'IA qu'elle soit symbolique (algorithmes et statistiques) ou via de l'IA (générative ou classique). En savoir plus

DDos : Attaque par déni de service, ayant pour objectif de rendre indisponible un service. 

Donnée personnelle : Donnée qui permet d'identifier directement ou indirectement une personne (nom, numéro de sécurité sociale,..). En savoir plus

Donnée sensible : Données dont le traitement comporte un risque pour la personne concernée (données génétiques, appartenance syndicale, origine ethnique...). En savoir plus

Donnée stratégique : Donnée stratégique pour l'activité de l'entreprise. En savoir plus

DPO : Délégué(e) à la protection des données (Data Protection Officer) : en charge de la protection des données personnelles au sein de l'organisation. En savoir plus

DPO Santé : Délégué(e) à la protection des données (Data Protection Officer) : en charge de la protection des données personnelles au sein de l'organisation dans le monde de la santé. En savoir plus

eIDAS : (Electronic IDentification And Trust Services). Réglement sur l'identification électronique qui permet d'assurer des transactions transfrontalières sécurisées. En savoir plus

Entité essentielle : Organisation opérant dans un secteur hautement critique (énergie, transport, santé, eau…) soumise à des obligations strictes de cybersécurité selon NIS2. En savoir plus

Entité importante : Entreprise de taille intermédiaire intervenant dans des secteurs sensibles, également concernée par NIS2 mais avec un niveau de supervision différent. En savoir plus

Évaluation des risques : Processus de cartographie et d’analyse des vulnérabilités numériques impactant la continuité des activités.

Fraude au président : Cyberattaque consistant à piéger un collaborateur en se faisant passer pour quelqu'un d'autre afin de lui faire faire des manipulations, type transfère d'argent. 

GDPR : (General Data Protection Regulation), appelé RGD en français : Règlement Général sur la Protection des Données.

Gestion des risques de cybersécurité : Obligation pour les entités de mettre en place des mesures techniques et organisationnelles pour gérer les cybermenaces.

Hacking : Ensemble des techniques permettant d'exploiter les failles et vulnérabilités dans le système informatique d'une organisation.

Hameçonnage : Egalement appelé phishing. Technique utilisée par les cyberattaquants pour obtenir des informations de types données personnelles.

HDS : Hébergement de Données de Santé. En savoir plus

Horodatage électronique : Preuve technique et juridique de la date et l’heure de création ou d’archivage d’un document électronique. En savoir plus

HSM : (Hardware Security Module) Appareil physique sécurisé pour la gestion et la protection des clés cryptographiques utilisées dans les certificats électroniques.

Implémenter ISO 27001 : Professionnel ayant pour mission de piloter et de mettre en œuvre un SMSI conforme aux exigences de la norme ISO 27001. En savoir plus

Incident de sécurité : Événement compromettant la confidentialité, l’intégrité ou la disponibilité d’un actif informationnel.

Intelligence artificielle : Ensemble de techniques informatiques visant à reproduire ou automatiser des fonctions cognitives humaines telles que la perception, la prise de décision, l’apprentissage et le raisonnement… 

ISO 27001 : Norme internationale de sécurité des systèmes d'information. En savoir plus

Lead Auditor ISO 27001 : Professionnel chargé de vérifier si une organisation est conforme aux exigences de la norme ISO 27001. En savoir plus

LRE : Envoi recommandé 100 % numérique, avec preuve de dépôt et de réception. En savoir plus

MIE : Moyen d'identification électronique. En savoir plus

NIS2 : Directive Européenne liée à la cybersécurité applicable depuis fin 2024 pour un grand nombre d'entreprises et d'organisations.

Notification d’incident : Obligation légale dans le cadre de NIS2 de signaler aux autorités toute cyberattaque significative dans un délai de 24 heures.

Organisme de Certification : Entité indépendante habilitée à délivrer une certification (ISO 27001, eIDAS, ...) reconnue à l’échelle internationale. En savoir plus

Organisme de Qualification : Entité indépendante habilitée par l'ANSSI pour qualifier des Prestataires PASSI 2.0. En savoir plus

Organisme d'évaluation : Entité indépendante habilitée par l'ANSSI pour procéder à des évaluations des Prestataire PACS, PRIS, PDIS, PVID, SecNumCloud. En savoir plus

PACS : Prestataire d'accompagnement et de conseil en sécurité des systèmes d'information. En savoir plus

PAS : Plan d’assurance sécurité : document formalisé qui détaille les engagements de sécurité d’une entreprise envers ses clients ou partenaires, en lien avec les exigences de la norme ISO/IEC 27001.

PASSI : Prestataire d'audit de la sécurité des systèmes d'information : entreprises de cybersécurité spécialisées dans l'audit ayant été qualifiées par l'État français. En savoir plus

PASSI niveau élevé : Qualification ANSSI pour les prestataires autorisés à réaliser des audits de cybersécurité qualifiés sur des systèmes sensibles ou critiques. En savoir plus

PASSI niveau substantiel : Qualification des prestataires d’audit habilités à réaliser des audits de cybersécurité sur des systèmes présentant un niveau de sensibilité modéré, selon un cadre allégé par rapport au niveau élevé. En savoir plus

PDIS : Prestataire de détection d'incidents de sécurité. En savoir plus

Pentest : Egalement appelé test d'intrusion ou test de pénétration. Méthode d'évaluation d'un système informatique en simulant une cyberattaque.

Phishing : Egalement appelé hameçonnage. Technique utilisée par les cyberattaquants pour obtenir des informations de types données personnelles. 

PKI : (Public Key Infrastructure) Infrastructure à Clé Publique : Ensemble de technologies et de services permettant la création, la gestion et la validation de certificats numériques.

PIA : Privacy Impact Assessement) Appelé AIPD en français : analyse d'Impact pour la Protection de données afin d'identifier les éventuels risques.

Plan de réponse aux incidents : Procédures documentées pour détecter, traiter et rétablir les services après une attaque informatique.

Politique de sécurité de l'information : Document stratégique définissant les objectifs, règles et responsabilités en matière de cybersécurité dans l’entreprise.

Prestataire qualifié par l’ANSSI : Entreprise ayant obtenu une qualification officielle après évaluation selon un des référentiels publiés par l’agence.

PRIS : Prestataire de réponse aux incidents de sécurité : peuvent être appelés lorsqu'un incident de sécurité est suspecté. En savoir plus

Privacy By Design : Principe fondamental du RGPD qui exige que la protection de la vie privée soit intégrée dès la conception d'un système, d'un produit ou d'un processus impliquant le traitement de données personnelles.

PSCe : Prestataire de services de certification électronique. En savoir plus

PsHE : Prestataire de services d'Horodatage électronique. En savoir plus

PSSI : Politique de Sécurité des Systèmes d’Information : document stratégique qui définit les règles, objectifs et responsabilités de l’entreprise en matière de sécurité de l’information, conformément aux exigences de l’ISO/IEC 27001.

PVID : Prestataire de vérification d'identité à distance : couvre les opérations de vérification d'identité sur internet. En savoir plus

QSCD : Qualified Signature Creation Device : dispositif certifié permettant de créer des signatures électroniques qualifiées en garantissant la sécurité de la clé privée.

QTSP  : Qualified Trust Service Provider : prestataire habilité à délivrer des certificats électroniques eIDAS reconnus juridiquement dans toute l’Europe. En savoir plus

Rançongiciel : Attaque qui vise à bloquer l'accès à un équipement ou un système.

RBI : Risk Based Inspection : Inspections basées sur une mesure de risque de non-conformité . Calcul effectué avec des algorithmes de data science dans le cadre de la solution Sémaphore Risk Monitoring. En savoir plus

RBO : Risk Based Oversight : Surveillance d'une autorité (aéronautique, nucléaire…) basée sur une mesure de risque de non-conformité. Calcul effectué avec des algorithmes de data science dans le cadre de la solution Sémaphore Risk Monitoring.

Référentiel PAMS : Référentiel de l'ANSSI dédié aux prestataires assurant l’administration sécurisée des systèmes d’information sensibles. En savoir plus

Référentiel PACS : Référentiel de l'ANSSI dédié aux prestataires chargés d’accompagner les organisations dans la mise en œuvre de la sécurité des systèmes d’information. En savoir plus

Référentiel PASSI : Référentiel de l'ANSSI qui définit les exigences pour les auditeurs qualifiés pour intervenir sur des audits réglementaires sensibles (ex. OIV). En savoir plus

Référentiel PDIS : Référentiel de l'ANSSI pour les prestataires assurant la surveillance et la détection de menaces pour les systèmes critiques. En savoir plus

Référentiel PRIS : Référentiel de l'ANSSI définissant les conditions d'intervention des prestataires capables d’intervenir en cas d’incident de cybersécurité majeur. En savoir plus

Référentiel SecNumCloud : Exigences de sécurité publiées par l’ANSSI pour qualifier des offres de cloud souverain de confiance, destinées aux acteurs publics et sensibles. En savoir plus

Registre de traitement des données : Registre permettant de recenser l'ensemble des traitement des données dont vous disposez afin d'obtenir une vue d'ensemble.

RGPD : Règlement Général sur la Protection des Données : texte réglementaire européen qui encadre le traitement des données du territoire européen depuis 2018. En savoir plus

Risk Manager EBIOS : professionnel qui pilote la gestion des risques de sécurité de l'information selon la méthode EBIOS. En savoir plus

Risk Manager ISO 27005 : professionnel qui pilote la gestion des risques de sécurité de l'information selon la norme ISO 27005. En savoir plus

Risques numériques : Risques liés aux activités numériques d'une organisation. En savoir plus

RSSI : Responsable sécurité des systèmes d’information : Personne chargée de définir, mettre en œuvre et piloter la stratégie de cybersécurité de l’organisation. En savoir plus

SecNumCloud : Prestataires d'informatique en nuage (Cloud Souverain). En savoir plus

Service d'envoi recommande électronique eIDAS : Garantit l’envoi sécurisé et traçable d’un message électronique. En savoir plus

Service d'horodatage électronique eIDAS : Atteste la date et l’heure exactes d’un document électronique. En savoir plus

Service de conservation de cachets électroniques eIDAS : Stocke de manière sûre les cachets numériques. En savoir plus

Service de délivrance de certificats d authentification de sites Internet eIDAS : Vérifie l’identité d’un site web (ex : HTTPS). En savoir plus

Service de délivrance de certificats de cachet électronique eIDAS : Assure qu’un document émane d’une organisation. En savoir plus

Service de délivrance de certificats de signature électronique eIDAS : Permet de signer un document avec valeur légale. En savoir plus

Signature électronique : Moyen d’authentifier un document et son auteur ; dans l’archivage, elle garantit l’identité du signataire et l’intégrité du contenu. En savoir plus

Signature électronique qualifiée : Niveau le plus élevé de signature électronique selon eIDAS, ayant la même valeur légale qu’une signature manuscrite. En savoir plus

SMSI : Système de Management de la Sécurité de l'Information. En savoir plus

Système d’Archivage Électronique : Ensemble organisé de moyens logiciels, matériels et humains destiné à gérer l’archivage sécurisé et pérenne de documents numériques. En savoir plus

Système d'information  : Ensemble des ressources qui permet de collecter, stocker, traiter et distribuer de l'information grâce à un réseau.