● 93 entries

Conformité et référentiels

Analyse d'impact relative à la protection des données (AIPD/DPIA)Analyse structurée, exigée par l'article 35 du RGPD, qui identifie et atténue les risques pour les droits et libertés des personnes avant le démarrage d'un traitement à haut risque.
Analyse qualitative des risquesApproche d'analyse qui note la vraisemblance et l'impact via des échelles descriptives (faible/moyen/élevé ou 1-5) plutôt que des valeurs monétaires ou probabilistes.
Analyse quantitative des risquesApproche d'analyse qui exprime vraisemblance et impact sous forme chiffrée, typiquement par des probabilités et des distributions de pertes monétaires, pour étayer des décisions fondées sur des données.
Appétence au risqueQuantité et type agrégés de risque qu'une organisation est prête à rechercher ou à accepter pour atteindre ses objectifs stratégiques, fixés par le conseil et la direction générale.
Assurance cyberProduit d'assurance specialise qui transfere a un assureur l'impact financier d'un incident cyber — reponse a incident, interruption d'activite et responsabilite.
Atomic Red TeamBibliotheque open source de petits tests cibles publiee par Red Canary, qui emule des techniques individuelles MITRE ATT&CK pour valider les detections et controles.
CAPECCommon Attack Pattern Enumeration and Classification, catalogue public maintenu par MITRE qui recense les schemas d'attaque utilises pour exploiter des faiblesses connues.
CCPACalifornia Consumer Privacy Act, loi américaine de l'État de Californie qui confère aux résidents californiens des droits sur leurs informations personnelles.
CCSPCertification cloud de l'ISC2 couvrant l'architecture, la protection des donnees, la securite plateforme et infrastructure, les operations et la conformite legale chez les grands fournisseurs.
CCT (SCC)Clauses contractuelles types : modeles de contrats approuves par la Commission europeenne offrant des garanties conformes au RGPD pour les transferts de donnees personnelles hors de l'EEE.
CEHCertification de hacking ethique d'EC-Council qui enseigne les outils et techniques des attaquants en reconnaissance, exploitation, web, sans-fil et cloud.
Certifications GIACFamille de certifications de cybersecurite par metier delivrees par GIAC et alignees sur les formations SANS, couvrant operations, reponse a incident, forensique et tests d'intrusion.
CIS ControlsEnsemble priorisé de mesures de cybersécurité de bonne pratique maintenu par le Center for Internet Security pour contrer les attaques les plus fréquentes.
CISACertification de l'ISACA pour les auditeurs de systemes d'information, couvrant processus d'audit, gouvernance, acquisition, operations et protection des actifs en cinq domaines.
CISMCertification de niveau direction de l'ISACA pour les responsables securite, couvrant gouvernance, risque, developpement du programme et gestion des incidents en quatre domaines.
CISSPCertification senior et independante des editeurs delivree par ISC2, couvrant les huit domaines du Common Body of Knowledge et exigeant cinq ans d'experience professionnelle remuneree.
CMMCProgramme de certification du Département de la Défense américain qui vérifie que les contractants de la base industrielle de défense disposent de contrôles de cybersécurité adéquats.
COBITRéférentiel de l'ISACA pour la gouvernance et le management de l'information et de la technologie en entreprise, reliant les objectifs métier aux objectifs et contrôles IT.
CompTIA Security+Certification de cybersecurite d'entree de gamme et independante des editeurs proposee par CompTIA, couvrant menaces, architecture, operations et gouvernance pour les debutants.
ConformitéDiscipline visant à respecter les exigences légales, réglementaires, contractuelles et internes de sécurité par des contrôles documentés, des preuves et une évaluation continue.
Contrat de sous-traitance (DPA)Contrat exige par l'article 28 du RGPD entre un responsable de traitement et un sous-traitant lorsque des donnees personnelles sont traitees pour le compte du responsable.
CPRACalifornia Privacy Rights Act de 2020, qui modifie et etend la CCPA et est pleinement entree en vigueur le 1er janvier 2023.
CRISCCertification de l'ISACA pour les professionnels du risque et du controle IT, couvrant gouvernance, evaluation, reponse et reporting de risque, et selection de controles en quatre domaines.
CVE Numbering Authority (CNA)Organisation habilitée par le programme CVE à attribuer des identifiants CVE et à publier des enregistrements pour les vulnérabilités situées dans son périmètre défini.
Defense en profondeurStrategie de securite qui empile des controles independants pour que la defaillance de l'un soit compensee par les autres en prevention, detection ou containment.
Directive NIS2Directive UE 2022/2555 qui rehausse les exigences de cybersecurite de base et les obligations de notification d'incidents pour les entites essentielles et importantes dans l'Union.
DORAReglement UE 2022/2554 sur la resilience operationnelle numerique du secteur financier, applicable a compter du 17 janvier 2025.
DPFCadre de protection des donnees UE-Etats-Unis, mecanisme d'adequation adopte en juillet 2023 qui remplace le Privacy Shield pour les transferts transatlantiques de donnees personnelles.
Évaluation de sécurité des fournisseursÉvaluation structurée des contrôles, politiques et pratiques de sécurité d'un fournisseur tiers, avant et pendant la relation commerciale, afin de mesurer le risque qu'il introduit.
Évaluation des risquesActivité structurée de la gestion des risques qui identifie menaces, vulnérabilités et impacts sur des actifs précis et note le risque obtenu pour étayer les décisions de traitement.
FAIR (Factor Analysis of Information Risk)Standard international ouvert pour quantifier le risque informationnel et cyber en termes financiers, en décomposant le risque en facteurs de fréquence et de magnitude des pertes.
FedRAMPProgramme du gouvernement américain qui standardise l'évaluation de sécurité, l'autorisation et la surveillance continue des services cloud utilisés par les agences fédérales.
FERPALoi fédérale américaine qui protège la confidentialité des dossiers scolaires des étudiants et confère des droits aux parents et aux étudiants éligibles.
FISMALoi fédérale américaine qui impose aux agences fédérales et à leurs prestataires de mettre en place des programmes de sécurité de l'information fondés sur les risques pour les systèmes traitant des données gouvernementales.
Gestion des risquesProcessus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
Gestion des risques d'entreprise (ERM)Approche intégrée et transversale d'identification, de gouvernance et de traitement des risques stratégiques, financiers, opérationnels, de conformité et cyber, alignée sur les objectifs métier.
Gestion des risques fournisseursSous-ensemble du TPRM axé sur l'évaluation et la supervision des fournisseurs directs, en particulier leurs pratiques de sécurité, vie privée et résilience opérationnelle.
Gestion des risques tiers (TPRM)Discipline de bout en bout pour identifier, évaluer, contractualiser, surveiller puis sortir des tiers afin que les risques cyber, opérationnels et de conformité qu'ils introduisent restent dans l'appétence.
Gramm-Leach-Bliley Act (GLBA)Loi fédérale américaine qui impose aux institutions financières de protéger les informations de leurs clients et d'expliquer leurs pratiques de partage de données.
HIPAALoi américaine sur la portabilité et la responsabilité en matière d'assurance santé, qui fixe des normes nationales de protection des informations de santé identifiables.
HITRUSTCadre de securite axe sur le risque et la conformite, le HITRUST CSF, largement utilise dans la sante aux Etats-Unis pour demontrer l'alignement avec HIPAA, NIST et d'autres referentiels.
ISO/IEC 27001Norme internationale qui spécifie les exigences d'un Système de Management de la Sécurité de l'Information (SMSI) et permet une certification formelle des organisations.
ISO/IEC 27002Code international de bonnes pratiques offrant des recommandations détaillées pour les mesures de sécurité listées à l'Annexe A d'ISO/IEC 27001.
ITILRéférentiel mondialement reconnu publié par AXELOS/PeopleCert, recensant les bonnes pratiques de gestion des services IT tout au long du système de valeur du service.
LGPDLoi generale bresilienne sur la protection des donnees personnelles (loi n. 13 709/2018), en vigueur depuis le 18 septembre 2020, qui regit le traitement des donnees personnelles par les entites publiques et privees.
Loi Sarbanes-Oxley (SOX)Loi fédérale américaine de 2002 qui impose aux sociétés cotées des exigences de gouvernance, de contrôle interne et de reporting pour protéger les investisseurs.
LPRPDE (PIPEDA)Loi federale canadienne sur la protection des renseignements personnels dans le secteur prive, regissant la collecte, l'utilisation et la communication des renseignements personnels dans le cadre d'activites commerciales.
Methode OCTAVEMethodologie d'evaluation des risques de securite de l'information developpee par le SEI de CMU, centree sur le risque organisationnel et operationnel des actifs critiques.
MITRE ATT&CKBase de connaissances mondiale et ouverte sur les tactiques et techniques d'attaque observées dans la réalité, maintenue par MITRE.
MITRE D3FENDGraphe de connaissance MITRE des contre-mesures défensives en cybersécurité et des artefacts numériques qu'elles observent ou modifient, en complément de MITRE ATT&CK.
Modele de menace PASTAProcess for Attack Simulation and Threat Analysis, methodologie de modelisation des menaces orientee risque en sept etapes qui aligne menaces techniques et impact metier.
Modèle DREADModèle qualitatif de notation des risques qui évalue les menaces selon Damage, Reproducibility, Exploitability, Affected users et Discoverability.
Modèle STRIDECadre de classification des menaces conçu par Microsoft qui regroupe les menaces logicielles en Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service et Elevation of Privilege.
NIST Cybersecurity FrameworkRéférentiel volontaire fondé sur le risque, publié par le NIST américain, qui organise les objectifs de cybersécurité en six fonctions principales.
NIST Risk Management FrameworkProcessus en sept étapes du NIST, défini dans SP 800-37, qui intègre la gestion des risques de sécurité, de confidentialité et de chaîne d'approvisionnement au cycle de vie du système.
NIST SP 800-171Publication NIST définissant les exigences de sécurité pour protéger les Controlled Unclassified Information (CUI) traitées par des organisations non fédérales.
NIST SP 800-30Publication speciale du NIST qui fournit des lignes directrices pour conduire les evaluations de risque des systemes d'information et des missions qu'ils supportent.
NIST SP 800-37Cadre de gestion des risques du NIST definissant un processus en sept etapes pour gerer les risques de securite et de vie privee tout au long du cycle de vie du systeme.
NIST SP 800-53Publication NIST fournissant un catalogue exhaustif de contrôles de sécurité et de confidentialité pour les systèmes fédéraux américains et de nombreux adoptants du secteur privé.
NIST SP 800-61Guide NIST de gestion des incidents de securite informatique, decrivant le cycle de vie en quatre phases utilise par les equipes de reponse a incidents publiques et privees.
OSCPCertification offensive pratique d'Offensive Security obtenue en compromettant un reseau de laboratoire lors d'un examen pratique surveille de 24 heures.
OSSTMMMethodologie de test de securite ouverte et revue par les pairs maintenue par ISECOM, qui definit des mesures scientifiques et repetables de la securite operationnelle sur cinq canaux.
OWASP API Security Top 10Document de sensibilisation OWASP qui classe les risques de securite les plus critiques pour les APIs web, en complement de l'OWASP Top 10 generaliste.
OWASP ASVSApplication Security Verification Standard de l'OWASP, catalogue d'exigences de securite testables pour concevoir, construire et verifier des applications web et APIs.
OWASP Dependency-CheckOutil open source de SCA de l'OWASP qui analyse les dependances d'un projet et remonte les vulnerabilites connues en croisant les identifiants CPE avec les donnees CVE.
OWASP MASVSMobile Application Security Verification Standard de l'OWASP, socle d'exigences de securite testables pour les applications mobiles iOS et Android.
OWASP Mobile Top 10Document de sensibilisation OWASP qui classe les risques de securite les plus critiques pour les applications mobiles iOS, Android et plateformes similaires.
OWASP SAMMSoftware Assurance Maturity Model de l'OWASP, cadre pour mesurer et ameliorer dans la duree les pratiques de developpement securise d'une organisation.
OWASP Top 10Document de sensibilisation de l'OWASP qui recense les risques de sécurité les plus critiques des applications web, mis à jour périodiquement à partir de données de vulnérabilités réelles.
OWASP WSTGWeb Security Testing Guide de l'OWASP, manuel open source complet decrivant comment tester les applications web face aux faiblesses de securite les plus courantes.
OWASP ZAPZed Attack Proxy, outil open source de tests de securite des applications web, issu d'OWASP et desormais maintenu par Checkmarx et la communaute ZAP.
Paysage des menaces (Threat Landscape)Image actuelle des menaces auxquelles fait face une organisation, un secteur ou une region: acteurs, tactiques, familles de malwares, vulnerabilites et tendances.
PCI DSSNorme mondiale de sécurité de l'information pour les organisations qui stockent, traitent ou transmettent des données de cartes de paiement, gérée par le PCI Security Standards Council.
Principe du besoin d'en connaitre (Need-to-Know)Principe de securite qui n'accorde l'acces a une information qu'aux personnes dont les fonctions l'exigent precisement, meme avec le niveau d'habilitation adapte.
PTESMethodologie communautaire de tests d'intrusion qui structure une mission en sept phases, du pre-engagement au reporting et aux recommandations de remediation.
Registre des risquesInventaire vivant des risques identifiés avec description, propriétaire, scores, traitement et statut, utilisé pour suivre l'exposition de l'organisation dans le temps.
Reglement europeen sur l'IAReglement UE 2024/1689 etablissant des regles harmonisees sur l'intelligence artificielle selon une approche fondee sur les risques, avec application echelonnee entre 2025 et 2027.
RGPDRèglement général sur la protection des données de l'Union européenne, encadrant le traitement des données personnelles des personnes situées dans l'UE et l'EEE.
Risque inhérentNiveau de risque associé à une activité ou un actif avant l'application de tout contrôle ou mesure d'atténuation, reflétant l'exposition brute aux menaces.
Risque résiduelRisque qui subsiste après l'application des contrôles et traitements prévus, que l'organisation doit accepter, transférer ou traiter davantage.
SANS Top 25Liste publiée chaque année et maintenue par le MITRE avec le SANS Institute, classant les faiblesses logicielles les plus dangereuses à partir de données réelles de CVE.
Securite par l'obscuriteApproche qui repose sur le secret du design, de l'implementation ou de l'emplacement d'un systeme comme defense principale, plutot que sur sa robustesse intrinseque.
Separation des taches (SoD)Principe de controle qui repartit une tache sensible entre plusieurs personnes ou systemes pour qu'aucun acteur seul ne puisse l'accomplir.
Simulation de risque Monte CarloTechnique de calcul qui estime le risque en exécutant des milliers de scénarios aléatoires issus de distributions de probabilité d'entrée, produisant une distribution de résultats possibles.
Single Point of Failure (SPOF)Composant dont la panne unique met l'ensemble du systeme hors service, sapant disponibilite, resilience et objectifs de reprise.
SOC 2Norme d'attestation de l'AICPA dans laquelle un auditeur indépendant évalue les contrôles d'une organisation de services au regard des Trust Services Criteria.
Surface d'attaqueEnsemble des points par lesquels un attaquant peut tenter d'entrer, d'exfiltrer ou de manipuler un systeme: reseaux, logiciels, identites, supply chain, humains.
Tolérance au risqueVariation acceptable autour d'un objectif ou d'une catégorie de risque, exprimée par des limites quantitatives ou qualitatives concrètes dérivées de l'appétence au risque.
Traitement des risquesDécision et actions visant à modifier un risque, en général en l'acceptant, le réduisant, le transférant ou en l'évitant, selon les critères de l'organisation.
Triade CIAModele fondamental de la securite de l'information regroupant les objectifs en Confidentialite, Integrite et Disponibilite.
TrikeMéthodologie open-source de modélisation des menaces qui adopte une approche orientée exigences et basée sur le risque, centrée sur les acteurs, les actifs et les actions autorisées.
Vecteur d'attaqueChemin ou technique precis utilise par un attaquant pour obtenir un acces non autorise: phishing, exploitation d'un CVE, identifiants voles, etc.
Vecteur de menaceCanal ou moyen par lequel un acteur de menace peut delivrer une attaque; souvent synonyme de vecteur d'attaque mais avec une connotation de modelisation des menaces.