● 157 entries

Défense et opérations

Accès aux identifiantsTactique MITRE ATT&CK (TA0006) couvrant les techniques utilisées pour voler des noms de compte, mots de passe, jetons et autres secrets.
Accès initialTactique MITRE ATT&CK (TA0001) regroupant les techniques par lesquelles un attaquant établit son premier point d'appui dans l'environnement cible.
Acteur de MenaceIndividu ou groupe causant ou tentant de causer intentionnellement un prejudice a des systemes d'information, organisations ou personnes via des operations cyber.
Acteur EtatiqueActeur de menace soutenu ou aligne sur un Etat qui mene des operations cyber a des fins strategiques, de renseignement, militaires ou economiques.
Agregation de logsCollecte, normalisation et stockage centralise des journaux d'evenements de nombreux systemes dans une seule plateforme pour la recherche, l'analyse et la retention.
Aircrack-ngSuite d'audit Wi-Fi open source permettant de capturer le trafic 802.11 et de retrouver les cles WEP et WPA/WPA2 a partir des handshakes.
Analyse d'images de conteneursPratique consistant a analyser des images OCI/Docker pour y reperer vulnerabilites connues, secrets, malwares et violations de politique avant deploiement vers un runtime de conteneurs.
Analyse de vulnérabilitésProcessus automatisé qui sonde systèmes, applications ou conteneurs au regard de signatures de vulnérabilités connues pour produire une liste de faiblesses potentielles.
Antivirus (AV)Logiciel d'endpoint qui detecte et supprime les fichiers malveillants au moyen de bases de signatures, d'analyses fichier et d'heuristiques basiques ; base historique de la securite endpoint.
Antivirus de nouvelle generation (NGAV)Protection endpoint qui complete la detection par signatures avec des modeles ML, de l'analyse comportementale et de la prevention d'exploits pour stopper les menaces inconnues et fileless.
BIA (analyse d'impact métier)Analyse structurée qui identifie les processus métier critiques, leurs dépendances et l'impact opérationnel, financier et réputationnel de leur interruption.
BlackCat / ALPHVOperation ransomware-as-a-service en Rust active de fin 2021 a 2024, connue pour ses chiffreurs multiplateformes et une extorsion agressive en plusieurs etapes.
BloodHoundOutil open source qui exploite la theorie des graphes pour cartographier et analyser des chemins d'attaque dans Active Directory et Azure AD vers des cibles a haute valeur comme Domain Admin.
Blue TeamÉquipe défensive chargée de surveiller, détecter, répondre et améliorer en continu les défenses face aux attaques.
Burp SuiteProxy d'interception et boite a outils de test web de PortSwigger, utilisee pour decouvrir, manipuler et exploiter des vulnerabilites dans des applications HTTP et HTTPS.
CensysPlateforme de scan internet a l'echelle mondiale qui publie des donnees structurees sur les hotes et certificats TLS, utile a l'ASM et au pivot d'infrastructures.
Centre des Opérations de Sécurité (SOC)Équipe et installation centralisées qui surveillent, détectent, analysent et traitent en continu les incidents de cybersécurité sur l'ensemble du système d'information.
Cluster UNC (non categorise)Etiquette de suivi Mandiant pour un ensemble d'intrusions liees dont l'acteur, la motivation ou le sponsor n'est pas encore suffisamment confirme pour passer en APT ou FIN.
Cobalt StrikePlateforme commerciale de simulation d'adversaire tres utilisee par les red teams et frequemment detournee par des attaquants pour le post-exploitation et le command-and-control.
Collecte (tactique MITRE)Tactique MITRE ATT&CK (TA0009) couvrant les techniques utilisées pour rassembler des informations d'intérêt avant de les exfiltrer.
Contrôles compensatoiresMesures alternatives offrant un niveau de protection équivalent lorsqu'un contrôle principal ou exigé ne peut pas être mis en place.
Contrôles correctifsMesures de sécurité activées après un incident pour limiter les dégâts, éradiquer la menace et restaurer les systèmes dans un état sain connu.
Contrôles de détectionMesures de sécurité conçues pour identifier et alerter sur une activité malveillante, une violation de politique ou une anomalie après son apparition dans l'environnement.
Contrôles de sécuritéMesures de protection — techniques, administratives ou physiques — destinées à prévenir, détecter ou répondre aux menaces visant les actifs informationnels.
Contrôles préventifsContrôles conçus pour empêcher un événement de sécurité de se produire en supprimant l'opportunité ou la capacité d'agir.
Correlation de logsJoindre des evenements provenant de plusieurs sources par champs partages, fenetres temporelles ou sequences pour reveler une activite multietape qu'un seul log ne montrerait pas.
Cyber Kill ChainModèle en sept étapes de Lockheed Martin décrivant la progression d'une intrusion ciblée, de la reconnaissance aux actions sur objectif.
Cybercrime-as-a-Service (CaaS)Modele clandestin ou des vendeurs specialises proposent outils, infrastructures ou expertise pour que des clients menent des cyberattaques sans developper leurs propres capacites.
Découverte (tactique MITRE)Tactique MITRE ATT&CK (TA0007) couvrant les techniques utilisées par l'attaquant pour cartographier l'environnement compromis après son intrusion.
Defense activeStrategie defensive qui va au-dela de la surveillance passive pour engager, egarer et perturber les adversaires a l'interieur des propres actifs du defenseur.
Detection comportementaleApproche de detection qui identifie l'activite malveillante a partir du comportement a l'execution des processus, utilisateurs et flux reseau, plutot que par des signatures statiques.
Detection de sandbox / emulateurTechniques anti-analyse des malwares qui reconnaissent quand ils s'executent dans un sandbox, un emulateur ou une VM et refusent alors de detoner pour echapper a l'analyse.
Detection heuristiqueMethode de detection utilisant des indicateurs heuristiques — motifs de code suspects, packers, chaines anormales, combinaisons d'API — pour reperer des fichiers probablement malveillants sans signature exacte.
Diamond Model d'analyse d'intrusionCadre d'analyse d'intrusion qui relie chaque événement malveillant à quatre sommets : adversaire, capacité, infrastructure et victime.
DNS passifBase historique des resolutions DNS observees permettant aux enqueteurs de retrouver quelles IP un domaine a pointe et quels domaines ont partage une IP dans le temps.
Durcissement (hardening)Réduction de la surface d'attaque d'un système en supprimant les fonctionnalités inutiles, en resserrant la configuration et en imposant des valeurs sûres par défaut.
EDR (Endpoint Detection and Response)Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
Elastic Stack (ELK)Plateforme open source d'Elastic N.V. combinant Elasticsearch, Logstash, Kibana et Beats pour ingerer, indexer, rechercher et visualiser des logs de securite et d'operations a grande echelle.
EPP (Endpoint Protection Platform)Suite préventive de sécurité des endpoints qui combine antivirus, anti-malware, pare-feu local et protection anti-exploit pour bloquer les menaces avant qu'elles ne s'exécutent.
Évaluation des vulnérabilitésExamen systématique d'un environnement pour identifier, classer et prioriser les faiblesses de sécurité, généralement sans exploitation active.
Évasion défensiveTactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.
Exécution (tactique MITRE)Tactique MITRE ATT&CK (TA0002) couvrant les techniques permettant à un adversaire d'exécuter son code sur un système local ou distant.
ExfiltrationTactique MITRE ATT&CK (TA0010) couvrant les techniques utilisées pour transférer les données volées du réseau victime vers un emplacement contrôlé par l'attaquant.
FalcoMoteur open source de securite runtime cloud-native qui detecte les comportements anormaux des conteneurs, des hotes et de Kubernetes en transmettant les appels systeme et les evenements d'audit a un moteur de regles.
Fatigue d'alertesDesensibilisation des analystes provoquee par un volume excessif d'alertes peu utiles ou repetitives, qui erode l'attention et ralentit la reponse aux vrais incidents.
Faux negatifActivite malveillante que la detection n'a pas signalee, laissant la menace passer inapercue et permettant a l'attaquant de poursuivre sans alerter la defense.
Faux positifAlerte de securite qui classe une activite benigne comme malveillante, ce qui coute du temps aux analystes et erode la confiance dans la detection.
Framework VERISVocabulary for Event Recording and Incident Sharing de Verizon : schéma ouvert pour décrire les incidents de sécurité de façon structurée et comparable.
Gestion de la configurationDiscipline consistant à définir, enregistrer et imposer l'état désiré des systèmes et applications afin que les configurations restent connues, cohérentes et sécurisées.
Gestion de la surface d'attaque (ASM)Découverte, inventaire, classification et surveillance continus de tous les actifs qui exposent l'organisation à une cyberattaque potentielle.
Gestion de la surface d'attaque externe (EASM)Découverte et surveillance continues de tous les actifs exposés à Internet appartenant à l'organisation, vues depuis l'extérieur, sous l'angle d'un attaquant.
Gestion des ActifsDécouverte, inventaire, classification et suivi du cycle de vie en continu de chaque actif matériel, logiciel, cloud et de données que le programme de sécurité doit protéger.
Gestion des changementsProcessus structuré pour proposer, examiner, approuver, planifier, mettre en œuvre et revoir les changements IT avec un risque maîtrisé et une traçabilité claire.
Gestion des correctifsProcessus de bout en bout consistant à identifier, tester, déployer et vérifier les mises à jour logicielles qui corrigent vulnérabilités et bugs.
Google Chronicle SecOpsSIEM et SOAR cloud-native de Google Cloud (ex-Backstory) qui stocke des telemetries a l'echelle du petaoctet a un tarif forfaitaire par employe et les interroge avec le langage de detection YARA-L.
Groupe APTActeur de menace nomme et suivi (habituellement soutenu par un Etat) menant des campagnes ciblees, longues et bien dotees contre des organisations ou des secteurs precis.
Groupe de RansomwareGroupe cybercriminel motive par l'argent qui developpe, exploite ou distribue du ransomware pour extorquer des organisations via chiffrement et menace de fuite de donnees.
Groupe FINDesignation Mandiant pour un groupe de menace motive financierement, ciblant systemes de paiement, retail, hotellerie et institutions financieres.
Hack-backAction offensive de represailles menee par une victime privee contre l'infrastructure de l'attaquant, generalement illegale selon la plupart des lois nationales sur la cybercriminalite.
HackerPersonne dotee d'une forte curiosite technique qui utilise une resolution creative de problemes pour comprendre, modifier ou casser des systemes, logiciels, reseaux ou materiels.
Hacker au Chapeau BlancProfessionnel de la securite qui n'utilise ses competences offensives qu'avec une autorisation explicite, afin de trouver et signaler des vulnerabilites a corriger.
Hacker au Chapeau GrisHacker qui agit entre les extremes ethiques et non ethiques, sondant souvent des systemes sans autorisation explicite mais avec l'intention de signaler, pas de nuire.
Hacker au Chapeau NoirActeur malveillant qui s'introduit dans des systemes sans autorisation, pour gain personnel, ideologie ou nuisance, en violation des lois sur la cybercriminalite.
Hacker EthiqueProfessionnel autorise a employer des techniques offensives contre des systemes pour identifier les faiblesses et aider les proprietaires a les corriger avant que les attaquants ne les exploitent.
HacktivisteActeur de menace qui mene des cyberattaques pour faire avancer une cause politique, sociale ou ideologique plutot que pour un gain financier ou un objectif de renseignement.
HashcatOutil open source de recuperation de mots de passe accelere par GPU, qui casse des centaines d'algorithmes de hachage et d'authentification via dictionnaire, regles, masques et attaques hybrides.
Honey AccountIdentifiant ou compte leurre — souvent sans persona complete — concu pour declencher une alerte lorsqu'un attaquant tente de l'utiliser.
HoneyfileDocument leurre placé dans un espace de stockage pour déclencher une alerte si un attaquant ou un initié le lit, le copie ou l'exfiltre.
HoneyuserIdentite factice provisionnee dans l'annuaire et les systemes RH pour qu'une simple tentative de connexion ou d'enumeration revele immediatement un attaquant.
Impact (tactique MITRE)Tactique MITRE ATT&CK (TA0040) couvrant les techniques visant à perturber la disponibilité ou l'intégrité des systèmes, des données ou des processus métier.
Indicateur d'Attaque (IoA)Preuve comportementale qu'un attaquant tente une intrusion en cours, centrée sur l'intention et la technique plutôt que sur des artefacts a posteriori.
Indicateur de Compromission (IoC)Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.
Ingenierie de detectionDiscipline consistant a concevoir, tester, deployer et maintenir des detections de securite comme du code, avec une couverture mesurable des techniques adverses.
Initial Access Broker (IAB)Specialiste cybercriminel qui obtient des acces non autorises a des reseaux d'entreprises et les revend a d'autres criminels, principalement aux affilies de ransomware.
Isolation d'endpointAction de reponse EDR qui coupe la connectivite reseau d'un poste compromis (sauf vers l'outil de securite) pour empecher le mouvement lateral pendant l'investigation.
Kali LinuxDistribution Linux basee sur Debian, maintenue par OffSec, qui regroupe des centaines d'outils de pentest, de red team et de forensique numerique.
Liste blanche d'applications (Allowlisting)Controle defensif qui n'autorise que les executables, scripts et librairies explicitement approuves a s'executer sur un poste, en bloquant tout le reste par defaut.
LockBitOperation russophone de ransomware-as-a-service devenue la marque de rancongiciel la plus active entre 2022 et 2024, avant d'etre fortement perturbee par l'operation Cronos.
MDR (Managed Detection and Response)Service managé dans lequel un prestataire externe assure la détection, la chasse aux menaces et la réponse aux incidents pour le compte du client, généralement à partir de la télémétrie EDR/XDR et SIEM.
Menace InterneRisque qu'un employe, prestataire ou partenaire actuel ou ancien dote d'un acces autorise en abuse pour causer un prejudice, intentionnellement ou par negligence.
MetasploitFramework d'exploitation open source qui regroupe exploits, charges utiles et modules de post-exploitation dans une plateforme unique pour les pentesteurs et chercheurs.
Microsoft SentinelService SIEM et SOAR cloud-native de Microsoft sur Azure, interrogeant les logs en Kusto Query Language (KQL) et integre nativement a Microsoft 365 Defender et aux sources de donnees Azure.
MimikatzOutil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
MISPMISP est une plateforme open source de threat intelligence pour collecter, stocker, correler et partager des indicateurs structures et du contexte analytique entre communautes de confiance.
mitmproxyProxy interactif open-source compatible TLS, utilise par les ingenieurs securite et QA pour intercepter, inspecter, modifier et rejouer le trafic HTTP et HTTPS.
MITRE EngageCadre d'adversary engagement de MITRE qui codifie les activites de deception, de denial et d'engagement pour les defenseurs, et remplace la base MITRE Shield.
Modele de maturite SOCCadre qui evalue un Security Operations Center sur les personnes, les processus, la technologie et les services pour batir une feuille de route d'amelioration pluriannuelle.
Monitoring d'integrite de fichiers (FIM)Controle de securite qui detecte les modifications inattendues sur les fichiers systeme, applicatifs et de configuration sensibles en les comparant a une baseline cryptographique de reference.
Mouvement latéralTactique MITRE ATT&CK (TA0008) couvrant les techniques permettant à un attaquant de rebondir d'un hôte compromis vers d'autres systèmes de l'environnement.
MTTC (temps moyen de confinement)Temps moyen entre la détection d'un incident et le moment où la menace ne peut plus se propager, exfiltrer des données ou aggraver l'impact.
MTTD (temps moyen de détection)Temps moyen écoulé entre le début d'un incident de sécurité et le moment où les défenseurs l'identifient.
MTTR (temps moyen de réponse)Temps moyen entre la détection d'un incident de sécurité et le démarrage d'une action de réponse efficace.
MTTR (temps moyen de rétablissement)Temps moyen nécessaire pour ramener les systèmes et services affectés à un fonctionnement normal après un incident de sécurité ou une indisponibilité.
NDR (Network Detection and Response)Technologie de sécurité réseau qui analyse le trafic — paquets déchiffrés, métadonnées et flux — par analyse comportementale et ML pour détecter les menaces et orchestrer la réponse.
NessusScanner de vulnerabilites commercial de Tenable qui identifie correctifs manquants, mauvaises configurations et services exposes sur les reseaux, postes et charges cloud.
NetFlowProtocole d'enregistrement de flux d'origine Cisco, ainsi que ses successeurs sFlow et IPFIX, qui exporte des metadonnees resumant chaque conversation qui traverse un equipement reseau.
NmapScanner reseau open source utilise pour cartographier des hotes, enumerer ports et services et identifier les systemes d'exploitation sur des reseaux IP.
OSSECSysteme de detection d'intrusion base hote, gratuit et open source, qui effectue analyse de logs, integrite des fichiers, detection de rootkits et reponse active sur Linux, Windows, macOS et Solaris.
OTXOTX est une plateforme ouverte et communautaire d'echange de threat intelligence — initialement AlienVault, desormais LevelBlue OTX — ou les chercheurs publient des indicateurs sous forme de Pulses.
Pare-feu de base de donneesEquipement ou proxy en ligne qui inspecte le trafic SQL au regard d'une politique de liste blanche et bloque les injections, l'abus de privileges et les instructions non autorisees avant qu'elles n'atteignent la base.
Pattern d'attaqueDescription reutilisable de la maniere dont les attaquants exploitent une classe de faiblesses, utilisee pour cartographier les techniques, batir des detections et durcir les systemes.
PCAPFormat binaire de capture de paquets produit par libpcap, tcpdump et Wireshark, qui enregistre les paquets reseau tels qu'ils ont ete vus sur le fil.
PersistanceTactique MITRE ATT&CK (TA0003) regroupant les techniques permettant à un attaquant de conserver son accès au système malgré reboots, changements de mots de passe et réponse à incident.
Playbook de securiteProcedure documentee et reproductible qui indique aux intervenants exactement quoi faire, et dans quel ordre, pour un type donne d'alerte ou d'incident.
Post-mortemRevue sans reproche apres un incident pour reconstituer la chronologie, identifier les facteurs contributifs et definir des actions concretes pour ne pas reproduire l'erreur.
Posture de sécuritéNiveau global de robustesse des défenses cyber d'une organisation, exprimé par sa capacité à anticiper, prévenir, détecter, répondre et récupérer face aux menaces.
Purple TeamFormat d'exercice collaboratif où red team et blue team travaillent ouvertement ensemble pour améliorer la détection et la réponse en quasi temps réel.
Pyramid of PainModèle de David Bianco classant les indicateurs de compromission selon le coût qu'il représente pour l'attaquant lorsqu'ils sont détectés ou bloqués.
Quarantaine (Endpoint)Action de securite endpoint qui deplace un fichier suspect de son emplacement d'origine vers un magasin controle et neutralise pour qu'il ne puisse pas s'executer mais reste analysable.
Ransomware ContiOperation russophone de ransomware active de 2020 a 2022, parmi les plus prolifiques en double extorsion, dissoute apres d'importantes fuites internes.
Recherche WHOISRequete sur la base WHOIS ou RDAP qui retourne les details d'enregistrement d'un domaine ou d'une IP : registrar, registrant, dates et serveurs de noms.
ReconnaissancePremière phase d'une attaque, durant laquelle l'adversaire collecte des informations sur les personnes, la technologie et l'exposition de la cible avant d'agir.
Red TeamÉquipe de sécurité offensive qui émule des adversaires réels de bout en bout pour mesurer la capacité de l'organisation à détecter, contenir et répondre aux attaques.
Référentiel de sécurité (baseline)Configuration de sécurité minimale, documentée et acceptable, que tout système d'une catégorie doit respecter avant mise en production.
Regle SigmaSignature de detection au format YAML, agnostique au fournisseur, qui s'applique aux logs et se convertit en requetes pour SIEM, EDR ou XDR.
Regle SnortSignature ecrite dans le langage de regles Snort qui decrit des motifs de trafic reseau a alerter ou bloquer en mode IDS ou IPS.
Regle YARASignature textuelle ecrite en langage YARA qui decrit des motifs d'octets, de chaines ou de comportements pour classer et detecter des echantillons de malware et des fichiers.
Renseignement OpérationnelRenseignement à moyen terme sur des campagnes spécifiques, des acteurs et leurs TTP, utilisé pour préparer les défenseurs, chasser les menaces et prioriser les contrôles.
Renseignement StratégiqueRenseignement de haut niveau et long terme sur le paysage des menaces, l'intention des adversaires et le contexte géopolitique, destiné aux décisions exécutives et du conseil.
Renseignement sur les menacesConnaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.
Renseignement sur les Menaces (CTI)Connaissance fondée sur des preuves au sujet des adversaires, de leurs motivations et de leurs méthodes, utilisée pour orienter les décisions défensives et prioriser les contrôles.
Renseignement TactiqueRenseignement technique à courte durée de vie sur les outils, indicateurs et signatures de l'adversaire, consommé par les analystes SOC et les outils de sécurité pour détecter et bloquer les attaques.
Requete SPL SplunkRequete ecrite dans le Search Processing Language de Splunk pour filtrer, transformer, correler et visualiser des donnees machine a des fins de detection, de hunting et de reporting.
REvil / SodinokibiOperation russophone de ransomware-as-a-service active de 2019 a 2021, connue pour la double extorsion et l'attaque sur la supply chain Kaseya VSA.
RPO (objectif de point de reprise)Quantité maximale acceptable de perte de données, exprimée comme une fenêtre temporelle, qu'une entreprise peut tolérer après une interruption.
RTO (objectif de temps de reprise)Durée maximale acceptable d'indisponibilité d'un processus ou d'un système après une interruption, au-delà de laquelle les conséquences deviennent inacceptables.
Sandbox escapeVulnerabilite ou chaine d'exploits permettant a un code de s'echapper d'un sandbox isolant — navigateur, VM ou hyperviseur — pour executer du code dans l'hote environnant.
Script KiddieAttaquant sans competences qui utilise des outils, scripts ou services tout faits ecrits par d'autres pour mener des attaques sans en comprendre les techniques.
Securite eBPFUtilisation de programmes eBPF (extended Berkeley Packet Filter) executes dans le noyau Linux pour fournir une observabilite profonde et une application de politiques sur les processus, le reseau et les appels systeme.
Security OnionDistribution Linux gratuite et open source pour le threat hunting, la supervision reseau et la gestion de logs, creee par Doug Burks et maintenue par Security Onion Solutions.
ShodanMoteur de recherche qui scanne en continu Internet et indexe les bannieres de services pour interroger les peripheriques exposes, ports, versions logicielles et certificats.
SIEMPlateforme qui agrège, normalise et corrèle la télémétrie de sécurité de toute l'entreprise pour la détection, l'investigation, la conformité et le reporting.
SLA (accord de niveau de service)Contrat formalisant le niveau de service attendu entre un fournisseur et son client, avec des engagements mesurables de performance et de sécurité.
SOARPlateforme qui automatise et orchestre les workflows du SOC en enchaînant détections, enrichissements et actions de réponse dans des playbooks exécutés à travers les outils de sécurité.
Splunk Enterprise SecuritySolution SIEM commerciale de Splunk Inc. (rachete par Cisco en 2024) qui ingere, indexe et correle des donnees machine via Splunk Processing Language (SPL) pour la supervision et l'investigation de securite.
STIXSTIX est un standard OASIS qui definit un langage structure et lisible par machine pour representer et echanger la cyber threat intelligence entre organisations et outils.
SuricataMoteur open source haute performance d'IDS, IPS et supervision de securite reseau, maintenu par l'Open Information Security Foundation (OISF).
Surveillance d'activite des bases de donnees (DAM)Controle de securite qui observe en continu les requetes, les actions des utilisateurs privilegies et les modifications de schema pour appliquer des politiques et detecter les abus en temps reel.
SysmonService Windows de Microsoft Sysinternals qui emet dans le journal d'evenements une telemetrie detaillee sur les processus, le reseau, les fichiers, le registre et les chargements d'images.
Tactiques, Techniques et Procédures (TTP)Description en couches de la manière dont un acteur opère : tactiques (le pourquoi), techniques (le comment) et procédures (la mise en œuvre concrète).
TAXII ProtocolTAXII est un protocole applicatif OASIS au-dessus de HTTPS pour publier, decouvrir et consommer de la threat intelligence — generalement du contenu STIX — entre organisations.
Technologie de tromperieApproche defensive qui dispose des leurres, des miettes de pain et de faux actifs dans tout l'environnement pour detecter, egarer et observer les attaquants avec une grande fiabilite.
Test d'intrusionCyberattaque simulée et autorisée contre des systèmes, applications ou personnes pour identifier les faiblesses exploitables avant les véritables adversaires.
Threat HuntingRecherche proactive et fondée sur des hypothèses dans la télémétrie pour identifier des menaces ayant échappé aux détections existantes.
TLPTLP est un schema d'etiquetage simple maintenu par FIRST qui signale le niveau de sensibilite d'une information partagee et avec qui elle peut etre redistribuee.
Transparence des certificatsEcosysteme de journaux publics append-only de certificats TLS, defini par les RFC 6962 et 9162, permettant a quiconque d'auditer les certificats existants pour un domaine.
TrivyScanner open source mono-binaire d'Aqua Security qui detecte CVE, mauvaises configurations, secrets, SBOM et problemes de licence dans les images de conteneurs, les systemes de fichiers, les depots Git et les clusters Kubernetes.
Tuning des regles SIEMProcessus continu d'ajustement des regles de detection d'un SIEM afin de reduire les faux positifs, combler les lacunes et s'aligner sur le modele de menaces de l'organisation.
UBA (User Behavior Analytics)Technologie analytique qui établit des références d'activité normale des utilisateurs et signale les anomalies afin de détecter l'usage abusif de comptes, les menaces internes et les identifiants compromis.
UEBA (Analyse Comportementale des Utilisateurs et Entités)Technologie de détection qui modélise le comportement normal des utilisateurs et entités, puis met en évidence les anomalies statistiques ou ML pouvant indiquer une compromission ou un risque interne.
UTM (Unified Threat Management)Appliance de sécurité réseau tout-en-un qui combine pare-feu, IPS, filtrage web, antivirus et VPN dans un seul équipement, principalement destinée aux PME et aux agences distantes.
WazuhPlateforme XDR et SIEM open source — fork d'OSSEC depuis 2015 — qui unifie la telemetrie endpoint, cloud et conteneurs avec des tableaux de bord integres sur Wazuh Indexer et Dashboard.
White TeamFacilitateurs neutres qui conçoivent, supervisent et arbitrent les exercices et compétitions de cybersécurité pour les garder sûrs, équitables et alignés sur les objectifs.
WiresharkAnalyseur de protocoles reseau open source qui capture et inspecte les paquets en temps reel pour le depannage, l'analyse de securite et la formation.
XDR (Extended Detection and Response)Plateforme de sécurité qui unifie la télémétrie des postes, du réseau, de l'identité, de la messagerie et du cloud pour fournir des détections corrélées et des actions de réponse intégrées.
Yellow TeamLes bâtisseurs — développeurs, architectes et ingénieurs DevOps — qui conçoivent et livrent les systèmes que red et blue attaquent et défendent.
ZeekMoniteur de securite reseau open source (anciennement Bro) qui transforme le trafic en logs structures et conscients des protocoles, exploitables via un langage de script.