Dictionnaire LEGAL du numérique

Tous A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
abonné [ANSSI référentiel RGS v2 du 13 juin 2014]
abonné [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : entité ayant besoin de faire horodater des données par une Autorité d'horodatage et qui a accepté les conditions d'utilisation de ses services.
accès [Directive CCEE 2018-1972 du 11 décembre 2018]
accès [Directive UE "CCEE" n°2018/1972 du 11 décembre 2018] : la mise à la disposition d’une autre entreprise, dans des conditions bien définies et de manière exclusive ou non exclusive, de ressources ou de services en vue de la fourniture de services de communications électroniques, y compris lorsqu’ils servent à la fourniture de services de la société de l’information ou de services de contenu radiodiffusé; cela couvre entre autres: l’accès à des éléments de réseau et à des ressources associées, ce qui peut comprendre la connexion des équipements par des moyens fixes ou non (cela comprend en particulier l’accès à la boucle locale ainsi qu’aux ressources et services nécessaires à la fourniture de services par la boucle locale); l’accès à l’infrastructure physique, y compris aux bâtiments, gaines et pylônes; l’accès aux systèmes logiciels pertinents, y compris aux systèmes d’assistance à l’exploitation; l’accès aux systèmes d’information ou aux bases de données pour la préparation de commandes, l’approvisionnement, la commande, les demandes de maintenance et de réparation et la facturation; l’accès à la conversion du numéro d’appel ou à des systèmes offrant des fonctionnalités équivalentes; l’accès aux réseaux fixes et mobiles, notamment pour l’itinérance; l’accès aux systèmes d’accès conditionnel pour les services de télévision numérique et l’accès aux services de réseaux virtuels.
accès [Directive Paquet Télécom II du 25 novembre 2009]
accès [Directive UE "Paquet Télécom II" n°2009/140/CE du 25 novembre 2009] : la mise à la disposition d’une autre entreprise, dans des conditions bien définies et de manière exclusive ou non exclusive, de ressources et/ou de services en vue de la fourniture de services de communications électroniques, y compris lorsqu’ils servent à la fourniture de services de la société de l’information ou de contenu radiodiffusé. Cela couvre notamment: l’accès à des éléments de réseaux et à des ressources associées et éventuellement à la connexion des équipements par des moyens fixes ou non (cela comprend en particulier l’accès à la boucle locale ainsi qu’aux ressources et services nécessaires à la fourniture de services par la boucle locale); l’accès à l’infrastructure physique, y compris aux bâtiments, gaines et pylônes; l’accès aux systèmes logiciels pertinents, y compris aux systèmes d’assistance à l’exploitation; l’accès aux systèmes d’information ou aux bases de données pour la préparation de commandes, l’approvisionnement, la commande, les demandes de maintenance et de réparation et la facturation; l’accès à la conversion du numéro d’appel ou à des systèmes offrant des fonctionnalités équivalentes; l’accès aux réseaux fixes et mobiles, notamment pour l’itinérance; l’accès aux systèmes d’accès conditionnel pour les services de télévision numérique et l’accès aux services de réseaux virtuels.
accès non autorisé [à des données personnelles] [Règlement RGPD]
accès non autorisé [à des données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  
accès partagé à la boucle locale [Directive Paquet Télécom II 2009]
accès partagé à la boucle locale [Directive UE 2009/140/CE du 25 novembre 2009] : le fait de fournir à un bénéficiaire un accès à la boucle locale ou à la sous-boucle locale de l’opérateur PSM notifié autorisant l’usage d’une partie spécifiée de la capacité des infrastructures des réseaux telle qu’une partie de la fréquence ou l’équivalent.
accès totalement dégroupé à la boucle locale [Directive Paquet Télécom II 2009]
accès totalement dégroupé à la boucle locale [Directive UE "Paquet Télécom II" n°2009/140/CE du 25 novembre 2009] : le fait de fournir à un bénéficiaire un accès à la boucle locale ou à la sous-boucle locale de l’opérateur PSM autorisant l’usage de la pleine capacité des infrastructures des réseaux.
actif numérique [article L54-10-1 Code monétaire et financier]
actif numérique [article L54-10-1 du Code monétaire et financier] : Pour l'application du présent chapitre, les actifs numériques comprennent : 1° Les jetons mentionnés à l'article L. 552-2, à l'exclusion de ceux remplissant les caractéristiques des instruments financiers mentionnés à l'article L. 211-1 et des bons de caisse mentionnés à l'article L. 223-1 ; 2° Toute représentation numérique d'une valeur qui n'est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d'une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement.
action d’administration [ANSSI référentiel PAMS v1]
action d’administration [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : installation, suppression, modification ou consultation d'une configuration d'un composant du système d'information, susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.
action de maintenance [ANSSI référentiel PAMS v1]
action de maintenance [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : réglage, vérification ou réparation des composants matériels ou logiciels du système d'information.
action de support [ANSSI référentiel PAMS v1 du 10 avril 2020]
action de support [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : sous-ensemble des actions d'administration ne nécessitant pas les plus hauts niveaux de privilège et ne donnant pas accès, même indirectement, aux données du commanditaire.
administrateur [ANSSI référentiel PAMS v1]
administrateur [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : personne physique disposant de droits privilégiés sur un système d’information, chargée des actions d’administration ou de maintenance sur celui-ci, responsable d’un ou plusieurs domaines techniques.
administration sécurisée [ANSSI référentiel PAMS v1]
administration sécurisée [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : ensemble des actions d'administration menées à l'état de l'art de la sécurité numérique.
Adversaire [ANSSI sélection d'algorithmes cryptographiques]
Adversaire [ANSSI guide de sélection d'algorithmes cryptographiques - 8 mars 2021] : entité malveillante ayant pour but de remettre en cause l’objectif de sécurité d’un mécanisme cryptographique.
Algorithme cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Algorithme cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Procédure de calcul bien définie qui prend un nombre d’entrées donné, produit une valeur de sortie, et satisfait une propriété de sécurité.
Algorithme de chiffrement par bloc [ANSSI guide de sélection d'algorithmes cryptographiques]
Algorithme de chiffrement par bloc [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un algorithme de chiffrement par bloc est un algorithme de chiffrement élémentaire permettant de traiter des données de tailles fixes, appelées blocs à l’aide d’un paramètre, appelé clé. Lorsque la clé considérée est fixe, l’opération de chiffrement des blocs est inversible et l’opération inverse est appelée opération de déchiffrement. On note n et k respectivement les tailles en bits des blocs et des clés de l’algorithme. Le comportement « en boîte noire » d’un algorithme de chiffrement par bloc à l’état de l’art et de la fonction de déchiffrement associée, utilisés avec une clé tirée aléatoirement, est indiscernable de celui d’une fonction inversible tirée aléatoirement et de son inverse. En particulier, des paires (clair, chiffré) n’apportent pas d’information exploitable sur la clé mise en œuvre, ni sur l’association établie par la fonction de chiffrement entre les autres clairs et les autres chiffrés.
Algorithme de chiffrement par flot [ANSSI guide de sélection d'algorithmes cryptographiques]
Algorithme de chiffrement par flot [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un algorithme de chiffrement par flot (synchrone) permet de chiffrer un message clair de taille arbitraire en générant une suite chiffrante de même taille à partir d’une clé de taille k bits et d’un vecteur d’initialisation de taille n bits, puis en combinant message clair et suite chiffrante par une opération de XOR. Le résultat constitue le chiffré. Les suites chiffrantes produites par un algorithme de chiffrement par flot à l’état de l’art sont indiscernables de sorties d’une source d’aléa idéale, et ce même lorsque l’adversaire dispose de la liberté de choisir les vecteurs d’initialisation.
algorithmes de chiffrement par bloc [ANSSI guide de sélection d'algorithmes cryptographiques]
Algorithmes de chiffrement par bloc [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : De nombreux mécanismes de chiffrement ou d’authentification de message sont obtenus par combinaison d’un algorithme de chiffrement par bloc, le plus souvent de taille n = 128 bits, et d’un mode opératoire. L’algorithme de chiffrement par bloc transforme un bloc clair de n bits en un bloc chiffré de n bits et inversement, tandis que le mode opératoire utilise l’algorithme de chiffrement par bloc pour traiter un message de longueur arbitraire (et prend en particulier en charge les messages de longueur non multiple de n). L’algorithme de chiffrement par bloc ne doit pas être employé seul pour quelque objectif que ce soit. En particulier, le chiffrement d’un message par simple découpage en parties de n bits et application de l’algorithme de chiffrement par bloc sur chaque partie est un mode opératoire (appelé mode ECB, pour Electronic Codebook) qui n’est absolument pas sûr et doit être évité.
altération [de données personnelles] [Règlement RGPD]
altération [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  
analyse de risque [ANSSI référentiel RGS v2 du 13 juin 2014]
analyse de risque [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : besoins de sécurité du système d’information en fonction de la menace et des enjeux.
annuaire accessible au public [PROJET Règlement e-Privacy v1]
annuaire accessible au public [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : un annuaire des utilisateurs finaux de services de communications électroniques, sur support imprimé ou électronique, qui est publié ou mis à la disposition du public ou d'une partie du public, y compris par l'intermédiaire d’un service de renseignements.
API [Directive CCEE n°2018/1972 du 11 décembre 2018]
API [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’interface logicielle entre des applications, fournie par les radiodiffuseurs ou prestataires de service, et les ressources de l’équipement de télévision numérique avancée prévues pour les services de télévision et de radio numériques.
appel [Directive CCEE n°2018/1972 du 11 décembre 2018]
appel [Directive CCEE n°2018/1972 du 11 décembre 2018] : une connexion établie au moyen d’un service de communications interpersonnelles accessible au public permettant une communication vocale bidirectionnelle.
appel [Directive Paquet Télécom II du 25 novembre 2009]
appel [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : une connexion établie au moyen d’un service de communications électroniques accessible au public permettant une communication vocale bidirectionnelle.
appels vocaux de prospection directe [PROJET Règlement e-Privacy]
appels vocaux de prospection directe [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les appels effectués en direct sans recourir à des systèmes de communication et d'appel automatisés.
attaque [NORME internationale ISO 27000:2018]
attaque [NORME internationale ISO 27000:2018] : tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'utiliser sans autorisation un actif, ou de faire un usage non autorisé de celui-ci.
atteinte à l'intégrité d'un SI [Règlement Mesures restrictives 2019]
atteinte à l'intégrité d'un système d'information [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : le fait d'entraver ou d'interrompre le fonctionnement d'un système d'information en introduisant, en transmettant, en endommageant, en effaçant, en détériorant, en altérant ou en supprimant des données numériques, ou en les rendant inaccessibles.
atteinte à l'intégrité des données [Règlement Mesures restrictives 2019]
atteinte à l'intégrité des données [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : l'effacement, l'endommagement, la détérioration, l'altération ou la suppression de données numériques dans un système d'information, ou le fait de rendre ces données inaccessibles; cette notion couvre également le vol de données, de fonds, de ressources économiques ou de droits de propriété intellectuelle.
atteinte au secret des correspondances [art. 226-15 Code pénal]
atteinte au secret des correspondances [article 226-15 du Code pénal] : Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions. Lorsqu'ils sont commis par le conjoint ou le concubin de la victime ou le partenaire lié à la victime par un pacte civil de solidarité, ces faits sont punis d'une peine de deux ans d'emprisonnement et de 60 000 euros d'amende.
atteinte au secret professionnel [article 226-13 du Code pénal]
atteinte au secret professionnel [article 226-13 du Code pénal] : La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende.
attribution du spectre [Directive Paquet Télécom II 2009]
attribution du spectre [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : la désignation d’une bande de fréquences donnée, aux fins de son utilisation par un ou plusieurs types de services de radiocommunications, le cas échéant, selon des conditions définies.
attribution du spectre radioélectrique [Directive CCEE 2018]
attribution du spectre radioélectrique [Directive CCEE n°2018/1972 du 11 décembre 2018] : la désignation d’une bande du spectre radioélectrique donnée, aux fins de son utilisation par un ou plusieurs types de services de radiocommunications, le cas échéant, selon des conditions définies.
audit [ANSSI Référentiel
audit (sécurité SI) [ANSSI Référentiel "PASSI" du 6 octobre 2015 (Prestataires d’Audit de la Sécurité des Systèmes d’Information)] : processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. Pour les besoins du référentiel, un audit est constitué d’un sous-ensemble des activités d’audit de la sécurité d’un système d’information décrites au chapitre II [du référentiel PASSI V2.1] et des recommandations assorties.
authenticité [wikipedia objectif sécurité système information]
authenticité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :
  1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
  2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
  3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
  4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.
authentification [Règlement eIDAS du 23 juillet 2014]
authentification [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique.
Authentification d'entité [ANSSI guide de sélection d'algorithmes cryptographiques]
Authentification d'entité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Preuve de l’identité proclamée par une entité.
Authentification de l'origine des données [ANSSI guide de sélection d'algorithmes cryptographiques]
Authentification de l'origine des données [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Confirmation que la source prétendue d’une donnée reçue est légitime.
Authentification de message [ANSSI guide de sélection d'algorithmes cryptographiques]
Authentification de message [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme d’authentification de message (MAC) permet, à l’aide d’une clé secrète K, de produire pour tout message M un motif d’authentification µ (mu) de M (aussi appelé motif d’intégrité de M). Ce motif ne peut pas être calculé sans la connaissance de K. A l’inverse, connaissant K, et ayant reçu un message M′ et un motif d’authentification µ ′ , il est possible de recalculer le motif d’authentification de M′ afin de vérifier qu’il est bien égal à µ ′ . Cela fournit l’assurance que la paire (M′ , µ′ ) a bien été produite avec la clé K et donc que l’intégrité du message a été préservée. Il est à noter qu’un mécanisme d’authentification de message ne protège pas contre le rejeu de messages authentifiés. Cette protection nécessite un mécanisme supplémentaire.
autoévaluation de la conformité [Règlement Cyber Security Act 2019]
autoévaluation de la conformité [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : une action effectuée par un fabricant ou un fournisseur de produits TIC, services TIC ou processus TIC, qui évalue si ces produits TIC, services TIC ou processus TIC satisfont aux exigences fixées dans un schéma européen de certification de cybersécurité spécifique.
backdoor [Ex glossaire technique en ligne de l'ANSSI]
backdoor [Ex glossaire technique en ligne de l'ANSSI] : accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.
base de données [Directive Base de données 1996]
base de données [Directive Base de données n°96/9/CE du 11 mars 1996] : un recueil d'oeuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique et individuellement accessibles par des moyens électroniques ou d'une autre manière.
Biclé asymétrique [ANSSI guide de sélection d'algorithmes cryptographiques]
Biclé asymétrique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Paire de clés liées mathématiquement, telles que la clé privée définit une transformation secrète et la clé publique définit une transformation publique.
bien comportant des éléments numériques [Directive UE n°2019/770]
bien comportant des éléments numériques [Directive UE n°2019/770 du 20 mai 2019] : tout objet mobilier corporel qui intègre un contenu numérique ou un service numérique ou est interconnecté avec un tel contenu ou un tel service d’une manière telle que l’absence de ce contenu numérique ou de ce service numérique empêcherait le bien de remplir ses fonctions.
biens en infraction [Directive Secrets d'affaires 2016]
biens en infraction [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : des biens dont le dessin ou modèle, les caractéristiques, le fonctionnement, le procédé de production ou la commercialisation bénéficient de manière significative de secrets d'affaires obtenus, utilisés ou divulgués de façon illicite.
blocage géographique [Règlement géo-blocage 2018]
blocage géographique [Règlement géo-blocage n°2018/302 du 28 février 2018] : [cas où] des professionnels exerçant leurs activités dans un État membre bloquent ou limitent l'accès de clients originaires d'autres États membres désireux de réaliser des transactions transfrontalières à leurs interfaces en ligne, tels que sites internet et applications.
blockchain [pas de définition légale]
blockchain [pas de définition légale] : ---> voir DEEP "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à la définition légale correspondante]
botnet [roBOT NETwork] [Ex glossaire technique en ligne de l'ANSSI]
botnet [roBOT NETwork] [Ex glossaire technique en ligne de l'ANSSI] : un Botnet, autrement dit un réseau de bots (botnet : contraction de réseau de robots), est un réseau de machines compromises à la disposition d’un individu malveillant (le maître). Ce réseau est structuré de façon à permettre à son propriétaire de transmettre des ordres à tout ou partie des machines du botnet et de les actionner à sa guise. Remarques : Certains ensembles peuvent atteindre des nombres considérables de machines (plusieurs milliers). Celles-ci peuvent faire l’objet de commerce illicite ou d’actions malveillantes contre d’autres machines. Elles sont souvent pilotées par des commandes lancées à travers un canal de contrôle comme le service IRC (Internet Relay Chat).
boucle locale [Directive CCEE du 11 décembre 2018]
boucle locale [Directive CCEE n°2018/1972 du 11 décembre 2018] : un canal physique utilisé par les signaux de communications électroniques qui relie le point de terminaison du réseau à un répartiteur ou à toute autre installation équivalente du réseau de communications électroniques public fixe.
boucle locale [Directive Paquet Télécom II 2009]
boucle locale [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : circuit physique qui relie le point de terminaison du réseau à un répartiteur ou à toute autre installation équivalente du réseau public fixe de communications électroniques.
brouillage préjudiciable [Directive CCEE 2018]
brouillage préjudiciable [Directive CCEE n°2018/1972 du 11 décembre 2018] : le brouillage qui compromet le fonctionnement d’un service de radionavigation ou d’autres services de sécurité ou qui, d’une autre manière, altère gravement, entrave ou interrompt de façon répétée le fonctionnement d’un service de radiocommunications opérant conformément à la réglementation internationale, de l’Union ou nationale applicable.
brouillage préjudiciable [Directive Paquet Télécom II 2009]
brouillage préjudiciable [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : le brouillage qui compromet le fonctionnement d’un service de radionavigation ou d’autres services de sécurité ou qui, de toute autre manière, altère gravement, entrave ou interrompt de façon répétée le fonctionnement d’un service de radiocommunications opérant conformément à la réglementation internationale, communautaire ou nationale applicable).
cachet électronique [Règlement eIDAS du 23 juillet 2014]
cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières.
cachet électronique avancé [Règlement eIDAS 2014]
cachet électronique avancé [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un cachet électronique qui satisfait aux exigences énoncées à l’article 36 [Règlement eIDAS n°910/2014 du 23 juillet 2014]. [NDLR : la lecture du Règlement eIDAS est particulièrement difficile du fait de ce type de définition]
cachet électronique qualifié [Règlement eIDAS 2014]
cachet électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un cachet électronique avancé qui est créé à l’aide d’un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique.
centre de réception des appels d'urgence [Directive CCEE 2018]
centre de réception des appels d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : un lieu physique où est réceptionnée initialement une communication d’urgence sous la responsabilité d’une autorité publique ou d’un organisme privé reconnu par l’État membre.
certificat d'authentification de site internet [Règlement eIDAS 2014]
certificat d'authentification de site internet [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré.
certificat de cachet électronique [Règlement eIDAS 2014]
certificat de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation électronique qui associe les données de validation d’un cachet électronique à une personne morale et confirme le nom de cette personne.
certificat de cyber sécurité européen [Règlement Cyber Security Act 2019]
certificat de cybersécurité européen [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un document délivré par un organisme compétent attestant qu’un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité.
certificat de signature électronique [Règlement eIDAS 2014]
certificat de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne.
certificat qualifié d'authentification de site internet [Règlement eIDAS 2014]
certificat qualifié d'authentification de site internet [Règlement eIDAS n°910/2014 du 23 juillet 2004] : un certificat d’authentification de site internet, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe IV {du texte précité}.
certificat qualifié de cachet électronique [Règlement eIDAS 2014]
certificat qualifié de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un certificat de cachet électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe III.
certificat qualifié de signature électronique [Règlement eIDAS 2014]
certificat qualifié de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un certificat de signature électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe I {du texte précité}.
certification de sécurité [Ex glossaire technique de l'ANSSI]
certification de sécurité [Ex glossaire technique en ligne de l'ANSSI] : délivrée par l’ANSSI. Elle porte sur des produits de sécurité (matériels ou logiciels). Elle atteste de la conformité d’un produit de sécurité à un niveau de sécurité donné. Il s’agit d’une évaluation à l’état de l’art réalisée en fonction d’une cible de sécurité et d’un niveau de sécurité visé. Elle est matérialisée par un rapport de certification et un certificat tous deux signés par le Directeur Général de l’Agence. Le catalogue des produits de sécurité certifiés, accompagnés de leur cible de sécurité et de leur rapport de certification est publié sur le site Web de l’Agence. On parle de certification « premier niveau » (CSPN) ou de certification « Critères Communs ». Cette certification est délivrée par l’ANSSI sur la base des travaux dévaluation menés par un CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information). Les CESTI sont des laboratoires accrédités par le COFRAC (Comité Français d’Accréditation) et agréés par l’ANSSI. Le catalogue des CESTI est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Centre National de Certification de la Sous-direction Expertise qui remplit ces missions.
chaine de blocs [pas de définition légale]
chaine de blocs [pas de définition légale] : ---> voir DEEP "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à cette définition légale]
cheval de Troie [Ex glossaire technique en ligne de l'ANSSI]
cheval de Troie [Ex glossaire technique en ligne de l'ANSSI] : programme donnant l’impression d’avoir une fonction utile, mais qui possède par ailleurs une fonction cachée et potentiellement malveillante.
chiffrement [cité dans Règlement RGPD] sécurité du traitement
chiffrement [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

chiffrement [Ex glossaire technique en ligne de l'ANSSI]
chiffrement [Ex glossaire technique en ligne de l'ANSSI] : transformation cryptographique de données produisant un cryptogramme. NDLR : le terme scientifique désignant la science du chiffrement est la "cryptographie".
Chiffrement asymétrique [ANSSI guide de sélection d'algorithmes cryptographiques]
Chiffrement asymétrique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’opération publique de chiffrement transforme à l’aide de la clé publique P u un message clair M en un message chiffré C. L’opération privée de déchiffrement permet de recalculer M à partir de C et de la clé privée P r. Le chiffrement asymétrique permet donc à toute personne ayant accès à la clé publique de chiffrer des messages à l’intention du détenteur de la clé privée.
Chiffrement authentifié [ANSSI guide de sélection d'algorithmes cryptographiques]
Chiffrement authentifié [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Combine le chiffrement et l’authentification de message en un seul mécanisme, avec une seule clé. Certains mécanismes de chiffrement authentifié permettent de plus d’associer au message chiffré M un message clair M’ qui ne sera pas chiffré. L’authentification porte alors sur l’association du chiffré correspondant à M et de M’. Une telle combinaison peut être utile pour lier de façon authentique à une donnée chiffrée une donnée claire nécessaire à son traitement.).
Chiffrement de clé [ANSSI guide de sélection d'algorithmes cryptographiques]
Chiffrement de clé [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de chiffrement de clé permet le stockage ou la transmission sécurisée de clés, en garantissant leur confidentialité, leur intégrité et l’authenticité de leur origine. Un mécanisme de chiffrement de clé est un schéma de chiffrement authentifié. Le fait que les données protégées soient aléatoires permet d’utiliser un schéma de chiffrement authentifié déterministe.
Chiffrement non authentifié [ANSSI guide de sélection d'algorithmes cryptographiques]
Chiffrement non authentifié [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme de chiffrement symétrique permet, à l’aide d’une clé secrète K, de transformer un message clair M en un message chiffré C. L’accès à C (par exemple sur un canal de communication public) sans connaissance de K n’apporte pas d’information sur M. La même clé K permet de déchiffrer C pour retrouver M. Les bons procédés de chiffrement symétrique sont probabilistes, c’est-à-dire qu’ils utilisent en plus de la clé K une valeur aléatoire, ou bien à état persistant, ce qui permet de garantir à chaque chiffrement l’utilisation d’une valeur auxiliaire n’ayant jamais été utilisée précédemment conjointement avec la clé K. Dans les deux cas, cela permet d’introduire de la variabilité dans le chiffré C, de telle sorte qu’un même message M ne soit pas chiffré toujours en le même message C. Ainsi, il n’est pas possible, par exemple, de comparer des chiffrés entre eux pour déterminer si les messages clairs correspondants sont égaux.
classement [Règlement P2B du 20 juin 2019]
classement [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : la priorité relative accordée aux biens ou services proposés par le biais de services d’intermédiation en ligne, ou la pertinence reconnue aux résultats de recherche par les moteurs de recherche en ligne, tels qu’ils sont présentés, organisés ou communiqués, respectivement, par les fournisseurs de services d’intermédiation en ligne ou par les fournisseurs de moteurs de recherche en ligne, quels que soient les moyens technologiques utilisés pour une telle présentation, organisation ou communication.
clause pénale [Cour de cassation Ch. civile 20 décembre 2006]
clause pénale [Cour de cassation Chambre civile 20 décembre 2006] : immeuble en l'état futur d'achèvement ... délai [contractuel de livraison] pas... respecté... indemnités de retard prévues par le contrat ; ... la preuve n'était pas rapportée que le retard ... dans la livraison ... ait causé un préjudice... ; ... la clause pénale, sanction du manquement d'une partie à ses obligations, s'applique du seul fait de cette inexécution.
clause pénale [Cour de cassation Ch. civile 3 septembre 2015]
clause pénale [Cour de cassation Chambre civile 3 septembre 2015] : par acte authentique, [les] vendeurs d'un immeuble, ont souscrit l'obligation... de faire enlever une jardinière établie sur le domaine public, sous astreinte journalière ; ...un juge de l'exécution a déclaré irrecevable la demande de ... liquidation de l'astreinte conventionnelle ; ... la clause litigieuse s'analysait en une clause pénale
clause pénale [Cour de cassation Ch. commerciale 14 juin 2016]
clause pénale [Cour de cassation Chambre commerciale 14 juin 2016] : ... même si pour partie, l'indemnité de jouissance prévue par le contrat représente pour le bailleur une contrepartie du service dont le locataire continue de bénéficier après le terme de la location en conservant les matériels loués, cette indemnité vise également à contraindre le locataire à restituer le matériel loué et constitue une évaluation forfaitaire et anticipée du montant du préjudice résultant pour le bailleur de l'inexécution, qui s'applique du seul fait de celle-ci... la clause prévoyant cette indemnité devait être qualifiée de clause pénale.
clause pénale [Cour de cassation Chambre civile 14 février 2019]
clause pénale [Cour de cassation Chambre civile 14 février 2019] : une promesse de vente... comportant une clause pénale relative à l'exécution, par les vendeurs, de travaux de réparation... la clause pénale forfaitaire sanctionnait l'inexécution des travaux par les vendeurs... les acquéreurs ne pouvaient prétendre à une application cumulative de cette clause pénale avec des dommages-intérêts alloués en réparation des préjudices résultant de l'inexécution de travaux conformes à ceux définis par la promesse de vente.
clé cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Clé cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Séquence de symboles qui contrôle l’exécution d’une fonction cryptographique.
Clé secrète [ANSSI guide de sélection d'algorithmes cryptographiques]
Clé secrète [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : clé cryptographique utilisée dans des techniques de cryptographie symétrique par un ensemble d’entités prédéfini.
Clés secrètes et biclés asymétriques [ANSSI guide de sélection d'algorithmes cryptographiques]
Clés secrètes et biclés asymétriques [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Les clés mises en œuvre par les mécanismes cryptographiques doivent être construites à partir de valeurs aléatoires qui doivent impérativement provenir d’un générateur aléatoire de qualité, en général spécialement prévu pour cet usage 3 . Pour les mécanismes symétriques, ceci permet d’assurer leur résistance contre la recherche exhaustive, attaque générique consistant pour un adversaire à tester toutes les clés possibles. Pour les mécanismes asymétriques, ceci permet également d’assurer leur résistance contre la meilleure attaque générique, mais aussi de se prémunir contre les attaques reposant sur une connaissance partielle de la clé. En effet, dans le cas des mécanismes asymétriques, la recherche exhaustive n’est jamais la meilleure attaque, et une connaissance partielle de la clé peut en outre avoir des conséquences catastrophiques pour la sécurité.
cloud computing [ANSSI référentiel PAMS v1]
cloud computing (informatique en nuage) [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.
cloud privé [ANSSI référentiel PAMS v1]
cloud privé [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : offre spécifique de cloud computing reposant sur des infrastructures dédiées à une entité et dont les outils d’administration peuvent ne pas être exposés sur Internet.
cloud public [ANSSI référentiel PAMS v1]
cloud public [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : offre générique de cloud computing reposant sur la mutualisation par défaut de l’infrastructure (capacité d’exécution, mémoire vive, stockage, etc.) au profit de différents clients et dont les outils d’administration sont exposés exclusivement sur Internet.
code malveillant [Ex glossaire technique en ligne de l'ANSSI]
code malveillant / logiciel malveillant [Ex glossaire technique en ligne de l'ANSSI] : tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Remarques : Les virus ou les vers sont deux types de codes malveillants connus.
commerce électronique [Loi LCEN du 21 juin 2004]
commerce électronique [Loi LCEN n°2004-575 du 21 juin 2004] : l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services. Entrent également dans le champ du commerce électronique les services tels que ceux consistant à fournir des informations en ligne, des communications commerciales et des outils de recherche, d'accès et de récupération de données, d'accès à un réseau de communication ou d'hébergement d'informations, y compris lorsqu'ils ne sont pas rémunérés par ceux qui les reçoivent. Une personne est regardée comme étant établie en France au sens du présent chapitre lorsqu'elle s'y est installée d'une manière stable et durable pour exercer effectivement son activité, quel que soit, s'agissant d'une personne morale, le lieu d'implantation de son siège social.
communication au public en ligne [Loi LCEN du 21 juin 2004]
communication au public en ligne [Loi LCEN n°2004-575 du 21 juin 2004] : toute transmission, sur demande individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur.
communication au public par voie électronique [Loi LCEN 2004]
communication au public par voie électronique [Loi LCEN n°2004-575 du 21 juin 2004] : toute mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une correspondance privée.
communication commerciale [Directive Commerce électronique 2000]
communication commerciale [Directive Commerce électronique n°2000/31/CE du 8 juin 2000] : toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services, ou l’image d’une entreprise, d’une organisation ou d’une personne ayant une activité commerciale, industrielle, artisanale ou exerçant une profession réglementée. Ne constituent pas en tant que telles des communications commerciales : — les informations permettant l’accès direct à l’activité de l’entreprise, de l’organisation ou de la personne, notamment un nom de domaine ou une adresse de courrier électronique, — les communications relatives aux biens, aux services ou à l’image de l’entreprise, de l’organisation ou de la personne élaborées d’une manière indépendante, en particulier lorsqu’elles sont fournies sans contrepartie financière.
communication d'urgence [Directive CCEE du 11 décembre 2018]
communication d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : une communication effectuée au moyen de services de communications interpersonnelles, entre un utilisateur final et le PSAP, dont le but est de demander et de recevoir des secours d’urgence de la part de services d’urgence.
communication de prospection directe [PROJET Règlement e-Privacy]
communication de prospection directe [PROJET Règlement e-Privacy v1 du 10 janvier 2017] : toute forme de publicité, tant écrite qu'orale, envoyée à un ou plusieurs utilisateurs finaux, identifiés ou identifiables, de services de communications électroniques, y compris au moyen de systèmes de communication et d'appel automatisés, avec ou sans intervention humaine, par courrier électronique, par SMS, etc.
compatibilité [Directive UE n°2019/770 du 20 mai 2019]
compatibilité [Directive UE n°2019/770 du 20 mai 2019] : la capacité du contenu numérique ou du service numérique à fonctionner avec du matériel informa­ tique ou des logiciels avec lesquels des contenus numériques ou des services numériques de même type sont nor­malement utilisés, sans qu’il soit nécessaire de convertir le contenu numérique ou le service numérique.
composant de sécurité [ANSSI Référentiel PVID 2021]
composant de sécurité [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : composant électronique d’un titre d’identité, utilisé comme support de stockage sécurisé des données d’état civil ainsi que de la photographie du légitime détenteur de ce titre. L’accès aux informations contenues dans le composant de sécurité d’un titre d’identité peut faire l’objet de restrictions dans le droit national des États
compromission [proposition de clause contractuelle v03-2022]
compromission [proposition de clause contractuelle v03-2022] : désigne toute exploitation par un tiers d'une Vulnérabilité et/ou d'un Malware (i) qui porte atteinte au fonctionnement attendu par le PRESTATAIRE du Service ou du Logiciel et/ou du Système d'Information d'une partie; et (ii) qui est susceptible de constituer un délit ou un crime (par exemple une atteinte à un système de traitement automatisé de données au sens des articles 323-1 à 323-3 du Code pénal). Toute Compromission avérée et documentée, par exemple via des Traces, doit faire l'objet d'une information par la partie qui le subit au profit de l'autre. Les actions de remédiation aux Compromissions (appréciation de criticité, mise en œuvre de Correctifs, etc.) sont définies dans les obligations de Maintenance à la charge du PRESTATAIRE.
compte privilégié [Ex glossaire technique en ligne de l'ANSSI]
compte privilégié [Ex glossaire technique en ligne de l'ANSSI] : un compte privilégié est un compte bénéficiant de droits d’accès étendus permettant à des utilisateurs malveillants de porter plus facilement ou plus gravement atteinte à la sécurité ou au fonctionnement du SIIV. Les comptes privilégiés sont par exemple des comptes d’administrateurs ou des comptes d’utilisateurs disposant de droits à fort impact métier dans une application.
conditions générales [Règlement P2B du 20 juin 2019]
conditions générales [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toutes les conditions générales ou spécifications, quelle que soit leur dénomination ou leur forme, qui régissent la relation contractuelle entre le fournisseur de services d’intermédiation en ligne et ses entreprises utilisatrices et qui sont fixées unilatéralement par le fournisseur de services d’intermédiation en ligne; une telle détermination unilatérale est évaluée sur le fondement d’une évaluation globale, pour laquelle l’importance relative des parties concernées, le fait qu’une négociation a eu lieu ou le fait que certaines dispositions aient pu faire l’objet d’une telle négociation et être déterminées ensemble par le fournisseur concerné et l’entreprise utilisatrice n’est pas, en soi, décisif.
Confidentialité [ANSSI guide de sélection d'algorithmes cryptographiques]
Confidentialité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Propriété qui assure qu’une information n’est ni disponible ni divulguée à des entités non autorisées.
confidentialité [cité dans Règlement RGPD] sécurité du traitement
confidentialité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

confidentialité [NORME internationale ISO 27000:2018]
confidentialité [NORME internationale ISO 27000:2018] : propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés.
confidentialité [wikipedia objectif sécurité système information]
confidentialité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :
  1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
  2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
  3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
  4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.
connexion à distance [ANSSI référentiel PAMS v1]
connexion à distance [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : depuis un poste de travail, la connexion à distance consiste à se connecter sur un autre environnement (physique ou virtuel) afin d’y ouvrir une session graphique (au travers de protocoles tels que Remote Desktop Protocol [RDP] ou Independent Computing Architecture) ou console (au travers de protocoles tels que Secure SHell ou des outils tels que PowerShell).
Construction cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Construction cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Mécanisme cryptographique construit à partir d’au moins un autre mécanisme cryptographique.
contenu de communications électroniques [PROJET Règlement e-Privacy v1]
contenu de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : le contenu échangé au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de documents vidéo, d'images et de son.
contenu numérique [Directive 2019/770 du 20 mai 2019]
contenu numérique [Directive UE n°2019/770 du 20 mai 2019] : des données produites et fournies sous forme numérique. NDLR : définition à rapprocher de celle de "données de communications électroniques" proposée dans le PROJET de Règlement UE "e-Privacy" du 10 janvier 2017 (sensé un jour abroger la Directive 2002/58/CE dite "e-Privacy").
contrat à distance [Directive UE 2011/83/UE du 25 octobre 2011]
contrat à distance [Directive UE 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs] : tout contrat conclu entre le professionnel et le consommateur, dans le cadre d’un système organisé de vente ou de prestation de service à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu’au moment, et y compris au moment, où le contrat est conclu.
contremarque de temps [ANSSI référentiel RGS v2 2014]
contremarque de temps [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : donnée signée qui lie une représentation d'une donnée à un temps particulier, exprimé en heure UTC, établissant ainsi la preuve que la donnée existait à cet instant là.
contrevenant [Directive Secrets d'affaires du 8 juin 2016]
contrevenant [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : toute personne physique ou morale qui a obtenu, utilisé ou divulgué un secret d'affaires de façon illicite.
contribution à une création de contenu [Décret métadonnées LCEN 2021]
contribution à une création de contenu [Décret métadonnées LCEN n°2021-1362 du 20 octobre 2021] : La contribution à une création de contenu mentionnée au dernier alinéa des articles 5 et 6 du présent décret comprend les opérations portant sur : 1° Des créations initiales de contenus ; 2° Des modifications des contenus et de données liées aux contenus ; 3° Des suppressions de contenus.
contrôle d'accès [NORME internationale ISO 27000:2018]
contrôle d'accès [NORME internationale ISO 27000:2018] : moyens mis en œuvre pour assurer que l'accès aux actifs est autorisé et limité selon les exigences (3.56) propres à la sécurité et à l'activité métier.
cookie [pas de définition légale] ---> voir "traceur"
cookie [pas de définition légale] : ---> voir "traceur" : les cookies HTTP … les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil).
courrier électronique [Loi LCEN du 21 juin 2004]
courrier électronique [Loi LCEN n°2004-575 du 21 juin 2004] : tout message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l'équipement terminal du destinataire, jusqu'à ce que ce dernier le récupère.
courrier électronique [PROJET de Règlement e-Privacy v1 - 2017]
courrier électronique [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : tout message électronique contenant des informations sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communications, qui peut être stocké dans le réseau, dans des installations informatiques connexes ou dans l'équipement terminal de son destinataire.
créateur de cachet [Règlement eIDAS du 23 juillet 2014]
créateur de cachet [Règlement eIDAS n°910/2014 du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques] : une personne morale qui crée un cachet électronique.
cyber menace [Règlement Cyber Security Act du 17 avril 2019]
cyber menace [Règlement UE "CyberSecurity Act" n°2019/881 du 17 avril 2019] : toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes.
cyber résilience [wikipedia encyclopédie en ligne]
[cyber] résilience [wikipédia] : « Résilience » désigne originellement la résistance d'un matériau aux chocs ; (le « fait de rebondir », du latin resilientia, de resiliens), définition ensuite étendue à la capacité d'un corps, d'un organisme, d'une espèce, d'un système, d'une structure à surmonter une altération de son environnement. Ce concept est utilisé dans plusieurs contextes : ...
  • dans le domaine de la cyber-sécurité, la cyber résilience est la capacité d'un système à assurer en permanence les fonctionnalités prévues malgré des cyber-événements indésirables
cyber sécurité [Règlement Cyber Security Act du 17 avril 2019]
cyber sécurité [Règlement UE Cyber Security Act n°2019/881 du 17 avril 2019] : les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces.
décision d'homologation [ANSSI référentiel RGS v2 2014]
décision d'homologation [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : la décision d’homologation atteste, au nom de l’autorité administrative, que le système d’information est protégé conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés. La décision d’homologation s’appuie sur un dossier d’homologation. Lorsqu'elle concerne un téléservice, cette décision est rendue accessible aux usagers.
décompilation [Directive Logiciel du 23 avril 2009]
décompilation [Directive Logiciel n°2009/24/CE du 23 avril 2009] : reproduction du code ou la traduction de la forme de ce code... indispensable pour obtenir les informations nécessaires à l'interopérabilité d'un programme d'ordinateur créé de façon indépendante avec d'autres programmes.
démarche d'analyse de risques [ANSSI référentiel RGS v2]
démarche d'analyse de risques [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : identifier les évènements qui peuvent affecter la sécurité du système, d’en estimer les conséquences et les impacts potentiels puis de décider des actions à réaliser afin de réduire le risque à un niveau acceptable.
Dérivation de clé [ANSSI guide de sélection d'algorithmes cryptographiques]
Dérivation de clé [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de dérivation de clé permet de dériver à partir d’une clé K et d’un identifiant non secret (entier, chaîne de caractères), une clé K′ . La connaissance de K permet de dériver K′ , mais la connaissance de K′ ne permet pas de remonter à K. Ce mécanisme permet de dériver à partir d’un secret initial unique plusieurs clés pour des usages différents. Comme nous allons le voir au paragraphe suivant, un mécanisme de dérivation de clé n’est pas suffisant pour la dérivation de clés à partir d’un mot de passe.
destruction [de données personnelles] [Règlement RGPD]
destruction [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  
détenteur de secrets d'affaires [Directive Secrets d'affaires 2016]
détenteur de secrets d'affaires [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : toute personne physique ou morale qui a le contrôle d'un secret d'affaires de façon licite.
disponibilité [cité dans Règlement RGPD] sécurité du traitement
disponibilité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

disponibilité [NORME internationale ISO 27000:2018]
disponibilité [NORME internationale ISO 27000:2018] : propriété d'être accessible et utilisable à la demande par une entité autorisée. ---> le terme "disponibilité" est utilisé dans l'article 32 du Règlement UE "RGPD" n°2016/679 du 27 avril 2016 et dans la Directive UE "NIS" n°2016/1148 du 6 juillet 2016
disponibilité [wikipedia objectif sécurité système d'information]
disponibilité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :
  1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
  2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
  3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
  4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.
dispositif d'enregistrement électronique partagé "DEEP" [article R.211-9-7 CMF]
dispositif d'enregistrement électronique partagé [article R.211-9-7 du Code monétaire et financier] : Le dispositif d'enregistrement électronique partagé mentionné à l'article L. 211-3 est conçu et mis en œuvre de façon à garantir l'enregistrement et l'intégrité des inscriptions et à permettre, directement ou indirectement, d'identifier les propriétaires des titres, la nature et le nombre de titres détenus. Les inscriptions réalisées dans ce dispositif d'enregistrement font l'objet d'un plan de continuité d'activité actualisé comprenant notamment un dispositif externe de conservation périodique des données. Lorsque des titres sont inscrits dans ce dispositif d'enregistrement, le propriétaire de ces titres peut disposer de relevés des opérations qui lui sont propres. ---> voir décret n°2018-1226 du 24 décembre 2018 relatif à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers et pour l'émission et la cession de minibons
dispositif d'enregistrement électronique partagé "DEEP" [pas de définition légale]
dispositif d'enregistrement électronique partagé ou "DEEP" [pas de définition légale] : ---> désigne un protocole blockchain dans la loi PACTE n°2019-486 du 22 mai 2019
dispositif de création de cachet électronique [Règlement eIDAS 2014]
dispositif de création de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif logiciel ou matériel configuré utilisé pour créer un cachet électronique.
dispositif de création de cachet électronique qualifié [Règlement eIDAS 2014]
dispositif de création de cachet électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif de création de cachet électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II.
dispositif de création de signature électronique [Règlement eIDAS 2014]
dispositif de création de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif logiciel ou matériel configuré servant à créer une signature électronique.
dispositif de création signature électronique qualifiée [Règlement eIDAS 2014]
dispositif de création de signature électronique qualifiée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif de création de signature électronique qui satisfait aux exigences énoncées à l’annexe II {du texte précité}.
divulgation non autorisée [de données personnelles] [RGPD]
divulgation non autorisée [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  
DNS pharming [Ex glossaire technique en ligne de l'ANSSI]
DNS pharming [Ex glossaire technique en ligne de l'ANSSI] : activité malveillante visant à modifier un serveur DNS (serveur de noms de domaine), dans le but de rediriger un nom de domaine vers une adresse IP différente de l’adresse légitime. En croyant aller sur un site connu, l’internaute navigue en réalité sur un site factice.  
document électronique [Règlement eIDAS 2014]
document électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel.
documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique [loi n°68-678 du 26 juillet 1968]
documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique [Loi n°68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères] : article 1er - Sous réserve des traités ou accords internationaux, il est interdit à toute personne physique de nationalité française ou résidant habituellement sur le territoire français et à tout dirigeant, représentant, agent ou préposé d'une personne morale y ayant son siège ou un établissement de communiquer par écrit, oralement ou sous toute autre forme, en quelque lieu que ce soit, à des autorités publiques étrangères, les documents ou les renseignements d'ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public, précisés par l'autorité administrative en tant que de besoin. article 1bis - Sous réserve des traités ou accords internationaux et des lois et règlements en vigueur, il est interdit à toute personne de demander, de rechercher ou de communiquer, par écrit, oralement ou sous toute autre forme, des documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique tendant à la constitution de preuves en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci. NOTE---> [mise à jour du 20 avril 2022] Le décret n° 81-550 du 12 mai 1981 portant application de l'article 2 de la loi du 26 juillet 1968 est abrogé et remplacé par le décret n°2022-207 du 18 février 2022 qui est complété par un arrêté du 7 mars 2022 <---NOTE
données à caractère personnel [Règlement RGPD 2016]
données à caractère personnel [Règlement RGPD n°2016/679 du 27 avril 2016] : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
données biométriques [Règlement RGPD avril 2016]
données biométriques [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.
données concernant la santé [Règlement RGPD 2016]
données concernant la santé [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.
données d'identification personnelle [Règlement eIDAS 2014]
données d'identification personnelle [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale.
données d’identification [ANSSI Référentiel PVID 2021]
données d’identification [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : ensemble de données à caractère personnel acquises et vérifiées par le service afin de vérifier l’identité d’une personne physique. Dans le cadre du présent référentiel les données d’identification peuvent être la vidéo du visage de l’utilisateur, la vidéo du titre d’identité présenté par l’utilisateur, ou les données relatives à l’utilisateur (dont la photographie du visage de l’utilisateur) stockées dans le composant de sécurité du titre d’identité.
données de communications électroniques [PROJET Règlement e-Privacy v1]
données de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : le contenu de communications électroniques et les métadonnées de communications électroniques.
données de création de cachet électronique [Règlement eIDAS 2014]
données de création de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données uniques qui sont utilisées par le créateur du cachet électronique pour créer un cachet électronique.
données de création de signature électronique [Règlement eIDAS 2014]
données de création de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données uniques qui sont utilisées par le signataire pour créer une signature électronique.
données de validation [Règlement eIDAS du 23 juillet 2014]
données de validation [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données qui servent à valider une signature électronique ou un cachet électronique.
données génétiques [Règlement RGPD avril 2016]
données génétiques [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question.
données hautement personnelles [Délibération CNIL données hautement personnelles 2018]
données hautement personnelles [Délibération CNIL données hautement personnelles n°2018-303 du 6 septembre 2018] : Les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple).
droit sui generis [Directive Base de données 1996]
droit sui generis [Directive Base de données n°96/9/CE du 11 mars 1996] : pour le fabricant d'une base de données, le droit d'interdire l'extraction et/ou la réutilisation de la totalité ou d'une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif.
échange de clé [ANSSI guide de sélection d'algorithmes cryptographiques]
Échange de clé (ou établissement de clé) [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : l’échange de clé permet à deux correspondants dialoguant sur un canal public d’aboutir à un secret commun. Ce secret commun est en général utilisé pour générer des clés utilisées dans des communications ultérieures. Pour assurer la sécurité de ces protocoles contre les attaques actives, attaques de type Man-in-the-middle, où un adversaire s’insère dans la communication et manipule les messages échangés lors du protocole d’échange de clé, ces messages doivent être authentifiés. Ceci fournit de plus à chaque participant une garantie sur l’identité de son correspondant (dans certaines variantes, comme dans la mise en œuvre la plus courante de HTTPS, seul l’un des deux participants s’assure de l’identité de son correspondant). Habituellement, les participants authentifiés possèdent chacun une clé privée et l’authentification est rendue possible par la connaissance par les participants de la clé publique de leur correspondant. Les protocoles d’échanges de clé sont mis en œuvre dans différents protocoles réseau visant à établir un canal sécurisé (confidentiel et intègre), comme TLS ou IPSEC.
écrit [article 1365 du Code civil version 2016/2018]
écrit [article 1365 du Code civil] : l'écrit consiste en une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quel que soit leur support.
écrit électronique [article 1366 du Code civil version 2016/2018]
écrit électronique [article 1366 du Code civil] : l'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.
EDINA [PROJET Règlement UE du 1er avril 2022 selon NoLimitSecu]
EDINA [AVANT-PROJET de Règlement UE du 1er avril 2022] : l'acronyme "EDINA" pour "European Digital Infrastructures and Networks Act" ne signifie rien du tout dans la mesure où ce projet de Règlement UE est sorti de l'imagination (débordante) des contributrices et contributeurs du podcast NoLimitSecu pour l'épisode du 1er avril 2022. Non, il n'est nulle part prévu que l'ENISA devienne "CANIS", ni que le système de scoring CVSS du NIST soit remplacé par le système "EVES" ("European Vulnerability Evaluation Score" ). Pour écouter cet épisode "poisson d'avril 2022" du podcast NoLimitSecu, cliquez sur ce lien.
entreprise utilisatrice [Règlement P2B du 20 juin 2019]
entreprise utilisatrice [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : tout particulier qui agit dans le cadre de son activité commerciale ou professionnelle ou toute personne morale qui, par le biais de services d’intermédiation en ligne, offre des biens ou services aux consommateurs à des fins liées à son activité commerciale, industrielle, artisanale ou libérale.
environnement numérique [Directive UE n°2019/770 2019]
environnement numérique [Directive UE n°2019/770 du 20 mai 2019] : tout matériel informatique, logiciel et connexion réseau utilisés par le consommateur pour accéder à un contenu numérique ou à un service numérique ou en faire usage.
envoi recommandé électronique [Loi République Numérique 2016]
envoi recommandé électronique [Loi République Numérique n°2016-1321 du 7 octobre 2016] : I.-L'envoi recommandé électronique est équivalent à l'envoi par lettre recommandée, dès lors qu'il satisfait aux exigences de l'article 44 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE. Dans le cas où le destinataire n'est pas un professionnel, celui-ci doit avoir exprimé à l'expéditeur son consentement à recevoir des envois recommandés électroniques. Le prestataire peut proposer que le contenu de l'envoi soit imprimé sur papier puis acheminé au destinataire dans les conditions fixées au livre Ier du présent code. II.-Un décret en Conseil d'Etat fixe les modalités d'application du présent article, notamment : 1° Les exigences requises en matière : a) D'identification de l'expéditeur et du destinataire ; b) De preuve du dépôt par l'expéditeur des données et du moment de ce dépôt ; c) De preuve de la réception par le destinataire ou son mandataire des données transmises et du moment de cette réception ; d) D'intégrité des données transmises ; e) De remise, le cas échéant, de l'envoi recommandé électronique imprimé sur papier ; 2° Les informations que le prestataire d'un envoi recommandé électronique doit porter à la connaissance du destinataire ; 3° Le montant de l'indemnité forfaitaire due par le prestataire dont la responsabilité est engagée, en cas de retard dans la réception, de perte, extraction, altération ou modification frauduleuse des données transmises lors de la prestation
équipement de station terrestre de satellites [Directive Equipements terminaux 2008]
équipement de station terrestre de satellites [Directive Equipements terminaux" n°2008/63/CE du 20 juin 2008] : tout équipement pouvant servir pour l'émission (émission seule), pour l'émission et la réception (émission-réception) ou uniquement pour la réception (réception seule) de signaux radio-électriques au moyen de satellites ou d'autres systèmes spatiaux.
équipement terminal [Directive Equipements terminaux 2008]
équipement terminal [de télécommunications] [Directive Equipements terminaux n°2008/63/CE du 20 juin 2008] : a) tout équipement qui est connecté directement ou indirectement à l’interface d'un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique; une connexion est indirecte si un appareil est interposé entre l’équipement terminal et l’interface du réseau public, b) les équipements de stations terrestres de satellites.
espiogiciel [Ex glossaire technique en ligne de l'ANSSI]
espiogiciel [Ex glossaire technique en ligne de l'ANSSI] : logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement dans lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.
établissement de clé [ANSSI guide de sélection d'algorithmes cryptographiques]
établissement de clé (ou échange de clé) [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’échange de clé permet à deux correspondants dialoguant sur un canal public d’aboutir à un secret commun. Ce secret commun est en général utilisé pour générer des clés utilisées dans des communications ultérieures. Pour assurer la sécurité de ces protocoles contre les attaques actives, attaques de type Man-in-the-middle, où un adversaire s’insère dans la communication et manipule les messages échangés lors du protocole d’échange de clé, ces messages doivent être authentifiés. Ceci fournit de plus à chaque participant une garantie sur l’identité de son correspondant (dans certaines variantes, comme dans la mise en œuvre la plus courante de HTTPS, seul l’un des deux participants s’assure de l’identité de son correspondant). Habituellement, les participants authentifiés possèdent chacun une clé privée et l’authentification est rendue possible par la connaissance par les participants de la clé publique de leur correspondant. Les protocoles d’échanges de clé sont mis en œuvre dans différents protocoles réseau visant à établir un canal sécurisé (confidentiel et intègre), comme TLS ou IPSEC.
état de l'art [ANSSI Référentiel PVID du 1er mars 2021]
état de l'art (sécurité des systèmes d'information) [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information ou à la vérification d’identité publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine législatif, réglementaire ou normatif.
événement [informatique] [NORME internationale ISO 27000:2018]
événement [NORME internationale ISO 27000:2018] : occurrence ou changement d'un ensemble particulier de circonstances.
événement lié à la sécurité de l'information [ISO/IEC 27000:2018]
événement lié à la sécurité de l'information [ISO/IEC 27000:2018] : occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible dans la politique de sécurité de l'information ou un échec des mesures de sécurité, ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité.
évènement lié à la sécurité de l’information [ANSSI Référentiel PRIS 2017]
évènement lié à la sécurité de l’information [ANSSI Référentiel PRIS du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] occurrence identifiée de l’état d’un système, d’un service ou d’un réseau indiquant une violation possible de la politique de sécurité de l’information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité de l’information.
exploit [Ex glossaire technique en ligne de l'ANSSI]
exploit [Ex glossaire technique en ligne de l'ANSSI] : tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) à des fins malveillantes.
extorsion [article 312-1 du Code pénal]
extorsion [article 312-1 du Code pénal] : le fait d'obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque. L'extorsion est punie de sept ans d'emprisonnement et de 100 000 euros d'amende.
extraction [Directive Base de données du 11 mars 1996]
extraction [Directive Base de données n°96/9/CE du 11 mars 1996] : le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit.
facteur humain [ANSSI référentiel RGS v2 du 13 juin 2014]
facteur humain [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : la sensibilisation du personnel aux questions de sécurité [...], ainsi que la formation de ceux qui interviennent plus spécifiquement dans la mise en œuvre et le suivi opérationnel de la sécurité du système d’information (surveillance, détection, prévention).
faille [Ex glossaire technique en ligne de l'ANSSI]
faille [Ex glossaire technique en ligne de l'ANSSI] : vulnérabilité dans un système informatique permettant à un attaquant de porter atteinte à son fonctionnement normal, à la confidentialité ou à l’intégrité des données qu’il contient.
fichier [Règlement RGPD n°2016/679 du 27 avril 2016]
fichier [Règlement RGPD n°2016/679 du 27 avril 2016] : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
fonction de dérivation de clés [ANSSI guide 2021]
Fonction de dérivation de clés [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme de dérivation de clés permet de calculer une ou plusieurs clés à partir d’un secret maître. Il repose sur une primitive symétrique, usuellement une fonction de hachage. Un tel mécanisme prend généralement trois arguments en entrée : une valeur secrète K, une valeur N potentiellement publique, qui consiste usuellement en une chaîne de caractères constante jouant le rôle de diversifiant, et une longueur n ; et renvoie n bits pouvant être divisés le cas échéant en plusieurs clés qui peuvent être considérées comme indépendantes.
fonction de hachage cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Fonction de hachage cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : une fonction de hachage cryptographique est une fonction sans clé qui permet de transformer une donnée de taille arbitraire 6 en une chaîne de bits de taille h fixe, appelée haché. On exige généralement qu’une fonction de hachage cryptographique satisfasse plusieurs propriétés de sécurité. Tout d’abord il doit être difficile de déterminer deux messages distincts dont les images par la fonction de hachage soient identiques : on parle de résistance en collision. On attend également qu’étant donné un message, il soit difficile de déterminer un autre message ayant la même image par la fonction de hachage : on parle de résistance en seconde préimage. Enfin, étant donnée une valeur de haché, il doit être difficile de déterminer un message dont l’image par la fonction de hachage soit égale à cette valeur de haché : on parle de résistance en préimage.
fonctionnalité [Directive n°2019/770 du 20 mai 2019]
fonctionnalité [Directive n°2019/770 du 20 mai 2019] : la capacité du contenu numérique ou du service numérique à remplir ses fonctions eu égard à sa finalité.
fournisseur de moteur de recherche en ligne [Règlement P2B 2019]
fournisseur de moteur de recherche en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toute personne physique ou morale qui fournit, ou propose de fournir, des moteurs de recherche en ligne aux consommateurs.
Fournisseur de service numérique [Directive NIS 2016/1148]
Fournisseur de service numérique [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security) concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'UE] : une personne morale qui fournit un service numérique.
fournisseur de services communication au public ligne [Loi LRN]
fournisseur de services de communication au public en ligne [Loi République Numérique n°2016-1321 du 7 octobre 2016] : On entend par fournisseur de services de communication au public en ligne toute personne assurant la mise à disposition de contenus, services ou applications relevant de la communication au public en ligne, au sens du IV de l'article 1er de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Sont notamment considérées comme des fournisseurs de services de communication au public en ligne les personnes qui éditent un service de communication au public en ligne, mentionnées au deuxième alinéa du II de l'article 6 de la même loi, ou celles qui assurent le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature mentionnées au 2 du I du même article 6 { du code des postes et des communications électroniques}.
fournisseur de services d'intermédiation en ligne [Règlement P2B 2019]
fournisseur de services d'intermédiation en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toute personne physique ou morale qui fournit, ou propose de fournir, des services d’intermédiation en ligne à des entreprises utilisatrices.
fourniture d'un réseau de communications électroniques [Directive CCEE 2018]
fourniture d'un réseau de communications électroniques [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : la mise en place, l’exploitation, la surveillance ou la mise à disposition d’un tel réseau.
génération d'aléa [ANSSI guide de sélection d'algorithmes cryptographiques]
Génération d'aléa [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Beaucoup d’environnements fournissent des générateurs aléatoires de qualité cryptographique. Encore faut-il les employer, ce qui peut par exemple nécessiter de s’assurer que les bibliothèques que l’on emploie ont été configurées correctement à la compilation.
gestion d'incident [Directive NIS 2016/1148 du 6 juillet 2016]
gestion d'incident [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : toutes les procédures utiles à la détection, à l'analyse et au confinement d'un incident et toutes les procédures utiles à l'intervention en cas d'incident. ---> définition utilisée dans le Règlement UE Cyber Security Act n°2019/881 du 17 avril 2019
gestion d'incident [Règlement Cyber Security Act du 17 avril 2019]
gestion de clés [ANSSI guide de sélection d'algorithmes cryptographiques]
Gestion de clés [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Application d’une politique de sécurité pour la génération, l’enregistrement, la certification, la radiation, la distribution, l’installation, le stockage, l’archivage, la révocation, la dérivation et la destruction de clés cryptographiques.
gestion des incidents liés à la sécurité de l'information [NORME ISO 27000:2018]
gestion des incidents liés à la sécurité de l'information [NORME internationale ISO 27000:2018] : ensemble de processus visant à détecter, rapporter, apprécier, gérer et résoudre les incidents liés à la sécurité de l'information, ainsi qu'à en tirer des enseignements.
hachage [ANSSI guide de sélection d'algorithmes cryptographiques]
Hachage [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Le hachage cryptographique est une transformation sans clé. Celle-ci produit à partir d’une donnée de taille quelconque un haché (digest) de taille fixe. La transformation est conçue pour garantir l’impossibilité de trouver deux données distinctes ayant le même haché. Le hachage est un composant de nombreux mécanismes cryptographiques, comme certaines méthodes d’authentification de message (par exemple HMAC), ou les signatures numériques. La transmission d’un message accompagné de son haché peut permettre la détection d’erreurs de traitement ou de transmission par recalcul du haché de la donnée reçue et comparaison avec le haché reçu. Cependant, un tel usage ne permet pas de se protéger d’un adversaire modifiant intentionnellement la donnée. En effet, rien n’empêche l’adversaire de calculer et de transmettre le haché de la donnée modifiée par ses soins. Pour garantir l’intégrité cryptographique d’une donnée, un mécanisme à clé, de type MAC ou une signature asymétrique, doit être mis en œuvre.
hachage de mot de passe [ANSSI guide de sélection d'algorithmes cryptographiques]
Hachage de mot de passe [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de hachage de mot de passe permet de calculer une valeur de vérification V à partir d’un mot de passe M et d’une valeur variable non secrète appelée sel. La valeur V ne permet pas d’obtenir d’information sur M autrement qu’en essayant des valeurs candidates pour M jusqu’à obtenir une coïncidence avec V . L’effort de calcul pour réaliser un hachage de mot de passe est généralement réglable, et ajusté de façon à ralentir l’essai de valeurs candidates pour M. Un utilisateur légitime en possession du mot de passe M peut réaliser l’opération pour un effort de calcul modéré car il ne réalise l’opération qu’une fois, mais l’effort de calcul pour un adversaire testant des valeurs candidates pour M sera plus élevé. La valeur V peut être stockée et servir de valeur de référence pour une authentification à base de mot de passe, ou servir à dériver des clés. Associée à un mécanisme de dérivation de clé, elle peut remplir ces deux fonctions simultanément.
hameçonnage [Ex glossaire technique en ligne de l'ANSSI]
hameçonnage [Ex glossaire technique en ligne de l'ANSSI] : vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.
homologation de sécurité [Décret n°2019-1088 du 25 octobre 2019]
homologation de sécurité [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Sans préjudice des mesures prises en application des articles R. 1332-41-1 et R. 1332-41-2 du code de la défense pour les systèmes d'information d'importance vitale et de l'article 9 de l'ordonnance du 8 décembre 2005 susvisée pour les systèmes d'information des autorités administratives faisant l'objet d'échanges par voie électronique ainsi que de l'homologation prévue par l'article R. 2311-6-1 du même code pour les systèmes d'information contenant des informations classifiées, les infrastructures et services logiciels informatiques qui composent le système d'information et de communication de l'Etat mentionné à l'article 1er du présent décret font l'objet, préalablement à leur mise en œuvre, d'une homologation de sécurité. L'homologation de sécurité est une décision formelle prise par l'autorité qualifiée en sécurité des systèmes d'information ou par toute personne à qui elle délègue cette fonction. Elle atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'autorité qualifiée en sécurité des systèmes d'information. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE
horodatage [ANSSI référentiel RGS v2 du 13 juin 2014]
horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : l'horodatage permet d’attester qu'une donnée existe à un instant donné. Pour cela, il convient d'associer une représentation sans équivoque d'une donnée, par exemple une valeur de hachage associée à un identifiant d'algorithme de hachage, à un instant dans le temps. La garantie de cette association est fournie au moyen d'une contremarque de temps qui est une structure signée qui contient en particulier : - l'identifiant de la politique d'horodatage sous laquelle la contremarque de temps a été générée ; - la valeur de hachage et l'algorithme de hachage de la donnée qui a été horodatée ; - la date et le temps UTC ; - l'identifiant du certificat de l'Unité d'horodatage (UH) qui a généré la contremarque de temps (qui contient aussi le nom de l'Autorité d'horodatage).
horodatage électronique [Règlement eIDAS 2014]
horodatage électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant.
horodatage électronique qualifié [Règlement eIDAS 2014]
horodatage électronique qualifié [Règlement 910/2014 eIDAS du 23 juillet 2014] : un horodatage électronique qui satisfait aux exigences fixées à l’article 42 {du texte précité}.
hyperviseur [ANSSI référentiel PAMS v1]
hyperviseur [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : logiciel de virtualisation permettant d’exécuter un ou plusieurs systèmes d’exploitation dits « invités » ou « machines virtuelles » au sein d’un même système d’exploitation dit « hôte ». Dans ce cas, on parle généralement d’hyperviseur de type 2.
identification électronique [Règlement eIDAS 2014]
identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale.
impact significatif d'un incident [Règlement Incidents 2018]
impact significatif d'un incident [Règlement d'exécution Incident à impact significatif n°2018/151 du 30 janvier 2018] : Un incident est considéré comme ayant un impact significatif si au moins l'une des situations suivantes s'est présentée: a) le service fourni par un fournisseur de service numérique a été indisponible pendant plus de 5 000 000 heures utilisateur, une heure-utilisateur correspondant au nombre d'utilisateurs affectés dans l'Union pendant une durée de soixante minutes; b) l'incident a entraîné une perte de l'intégrité, de l'authenticité ou de la confidentialité des données stockées, transmises ou transformées ou des services connexes offerts ou accessibles par l'intermédiaire d'un réseau et d'un système informatique du fournisseur de service numérique, qui a touché plus de 100 000 utilisateurs dans l'Union; c) l'incident a engendré un risque pour la sécurité ou la sûreté publiques ou a entraîné un décès; d) l'incident a causé un préjudice matériel à au moins un utilisateur dans l'Union dès lors que le préjudice causé à cet utilisateur dépasse 1 000 000 EUR.
incident [Directive NIS n°2016/1148 du 6 juillet 2016]
incident [Directive UE NIS (Network Information Security) 2016/1148 du 6 juillet 2016] : tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information. ---> voir définition de "réseau" et de "système d'information" de la Directive NIS et du projet de directive NIS2
incident [Règlement Cyber Security Act 2019-881 du 17 avril 2019]
incident [Règlement Cyber Security Act n°2019/881 du 17 avril 2019] : un incident au sens de l’article 4.7 de la directive NIS 2016/1148. ---> article 4.7 directive NIS 2016/1148 "tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information".
incident affectant le fonctionnement ou la sécurité des Systèmes d'Information [d'Importance Vitale] [article L.1332-6-2 Code de la défense]
incidents affectant le fonctionnement ou la sécurité des systèmes d'information [d'importance Vitale] [article L.1332-6-2 Code de la défense] Les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 [opérateurs d'Importance Vitale] informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d'information mentionnés au premier alinéa de l'article L.1332-6-1 [Système d'Information d'Importance Vitale].
incident affectant les systèmes d'information et de communication [d'un département ministériel] [Décret n°2019-1088 du 25 octobre 2019]
incident affectant les systèmes d'information et de communication [d'un département ministériel] [Décret n°2019-1088 du 25 octobre 2019 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics]: Chaque ministre désigne un fonctionnaire de sécurité des systèmes d'information chargé de l'assister dans l'exercice de sa responsabilité en matière de sécurité numérique mentionnée à l'article 2. Ce fonctionnaire est placé sous l'autorité du haut fonctionnaire mentionné à l'article R. 1143-1 du code de la défense. Le fonctionnaire de sécurité des systèmes d'information s'assure de l'application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d'information et de communication. Il déclare à l'Agence nationale de la sécurité des systèmes d'information les incidents affectant les systèmes d'information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci. Les responsabilités de ce fonctionnaire sont précisées par arrêté du Premier ministre. ---> NOTE : l'article 4-1 du Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE  
incident de sécurité [ANSSI référentiel PRIS v2 du 2 aout 2017]
incident de sécurité [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : un ou plusieurs évènement(s) de sécurité de l’information indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et/ou de menacer la sécurité de l’information.
incident de sécurité [Directive CCEE du 11 décembre 2018]
incident de sécurité [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : tout événement ayant un effet négatif sur la sécurité des réseaux ou des services de communications électroniques.
incident de sécurité [proposition clause contractuelle v03-2022]
incident de sécurité [proposition de clause contractuelle v03-2022]

"Incident de Sécurité" désigne toute Compromission avérée qui doit faire l'objet d'une déclaration obligatoire de survenance à une autorité de contrôle (CNIL, ANSSI, ARS, etc.).

NDLR ---> Il est recommandé de détailler cette clause en fonction de la nature du client / opérateur concerné (OIV, OSE, Opérateur de Communications Electroniques, plateforme, etc.) et des données concernées (données personnelles, données de santé, etc.) et de définir le terme "Compromission".

incident lié à la sécurité de l'information [NORME internationale ISO 27000:2018]
incident lié à la sécurité de l'information [NORME internationale ISO 27000:2018] : un ou plusieurs événements liés à la sécurité de l'information, indésirables ou inattendus, présentant une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la sécurité de l'information.
incidents de sécurité [Ex glossaire technique en ligne de l'ANSSI]
incidents de sécurité [Ex glossaire technique en ligne de l'ANSSI] : un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.
indicateur de compromission [ANSSI Référentiel PRIS 2017]
indicateur de compromission [ANSSI Référentiel PRIS du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : combinaison d’informations techniques représentatives d’une manifestation de compromission, dont la présence peut être identifiée à partir de l’analyse d’un système, d’un code malveillant ou de traces réseau.
indicateurs techniques de compromission [formulaire ANSSI]
indicateurs techniques de compromission [formulaire ANSSI de déclaration d'incident de sécurité] : indicateurs caractérisant l’attaque tels que des adresses IP, des noms de domaine, des adresses URL, des empreintes cryptographiques, des noms de fichiers ou de codes malveillants, des données contenues dans des codes malveillants ou dans les bases de registre du système, etc.
indisponibilité [système d'information] pas de définition légale
indisponibilité [d'un système d'information] : pas de définition légale, dans aucun texte de l'UE, ni dans aucune norme type ISO, ni en droit français. ---> voir la définition de "disponibilité"
informations relatives à localisation de appelant[Directive CCEE]
informations relatives à la localisation de l'appelant [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : dans un réseau mobile public, les données traitées qui proviennent de l’infrastructure de réseau ou de l’appareil mobile et qui indiquent la position géographique de l’équipement terminal mobile d’un utilisateur final et, dans un réseau fixe public, les données relatives à l’adresse physique du point de terminaison du réseau.
intégration [Directive UE n°2019/770 du 20 mai 2019]
intégration [Directive UE n°2019/770 du 20 mai 2019] : le fait de relier et d’intégrer un contenu numérique ou un service numérique aux composantes de l’environnement numérique du consommateur afin de permettre que le contenu numérique ou le service numérique soit utilisé conformément aux critères de conformité prévus par la présente directive.
intégrité [ANSSI guide de sélection d'algorithmes cryptographiques]
Intégrité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Propriété qui assure que des données n’ont été ni modifiées ni détruites d’une manière non autorisée.
intégrité [cité dans Règlement RGPD] sécurité du traitement
intégrité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

intégrité [Ex glossaire technique en ligne de l'ANSSI]
intégrité [Ex glossaire technique en ligne de l'ANSSI] : garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime.
intégrité [information] [NORME internationale ISO 27000:2018]
intégrité [NORME internationale ISO 27000:2018] : propriété d'exactitude et de complétude. ---> le terme "intégrité" est utilisé à l'article 32 Règlement UE "RGPD" n°2016/679 du 27 avril 2016 et dans la définition du terme "sécurité" [des réseaux et des systèmes d'information] de la Directive UE "NIS" n°2016/1148 du 6 juillet 2016.
intégrité [wikipedia objectif sécurité système information]
intégrité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :
  1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
  2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
  3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
  4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.
interception de données [Règlement Mesures restrictives 2019]
interception de données [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : le fait d'intercepter, par des moyens techniques, des transmissions privées de données numériques à destination, à partir ou au sein d'un système d'information, y compris les émissions électromagnétiques provenant d'un système d'information transportant de telles données numériques.
interconnexion [Directive CCEE du 11 décembre 2018]
interconnexion [Directive CCEE n°2018/1972 du 11 décembre 2018] : un type particulier d’accès mis en œuvre entre opérateurs de réseaux publics au moyen de la liaison physique et logique des réseaux de communications électroniques publics utilisés par la même entreprise ou une entreprise différente, afin de permettre aux utilisateurs d’une entreprise de communiquer avec les utilisateurs de la même entreprise ou d’une autre entreprise, ou d’accéder aux services fournis par une autre entreprise lorsque ces services sont fournis par les parties concernées ou par d’autres parties qui ont accès au réseau.
interface [Directive Logiciel du 23 avril 2009]
interface [Directive Logiciel n°2009/24/CE du 23 avril 2009] : parties du programme qui assurent [l'] interconnexion et [l'] interaction entre les éléments des logiciels et des matériels.
interface de programme d'application [Directive CCEE 2018]
interface de programme d'application [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’interface logicielle entre des applications, fournie par les radiodiffuseurs ou prestataires de service, et les ressources de l’équipement de télévision numérique avancée prévues pour les services de télévision et de radio numériques.
interface en ligne [Règlement géo-blocage 2018]
interface en ligne [Règlement géo-blocage n°2018/302 du 28 février 2018] : tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles, exploité par un professionnel ou pour son compte et permettant aux clients d'accéder aux biens ou aux services qu'il propose en vue de réaliser une transaction portant sur ces biens ou services.
interopérabilité [Directive Logiciel du 23 avril 2009]
interopérabilité [Directive Logiciel n°2009/24/CE du 23 avril 2009] : capacité d'échanger des informations et d'utiliser mutuellement les informations échangées..
interopérabilité [Directive UE n°2019/770 2019]
interopérabilité [Directive UE n°2019/770 du 20 mai 2019] : la capacité du contenu numérique ou du service numérique à fonctionner avec du matériel infor­matique ou des logiciels différents de ceux avec lesquels des contenus numériques ou des services numériques de même type sont normalement utilisés.
intrusion [Ex glossaire technique en ligne de l'ANSSI]
intrusion [Ex glossaire technique en ligne de l'ANSSI] : l’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.
investigation [ANSSI référentiel PDIS v2 du 21 décembre 2017]
investigation [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : procédé visant à collecter et analyser tout élément technique, fonctionnel ou organisationnel du système d’information permettant de qualifier une situation suspecte en incident de sécurité et de comprendre le mode opératoire et l’étendue d’un incident de sécurité sur un système d’information.
jeton [article L.552-2 Code monétaire et financier]
jeton [article L.552-2 du Code monétaire et financier] : constitue un jeton tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé permettant d'identifier, directement ou indirectement, le propriétaire dudit bien. ---> loi PACTE n°2019-486 du 22 mai 2019
journalisation [Délibération CNIL Journalisation 2021]
journalisation [Délibération Journalisation n°2021-122 du 14 octobre 2021] : dispositifs qui permettent d'assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d'information (et donc aux traitements de données à caractère personnel que sont susceptibles de constituer ces systèmes). Ces dispositifs peuvent être adossés soit à des applications (qui sont les briques logicielles spécifiques au traitement mis en œuvre et sont donc sujettes à la mise en œuvre de journaux dits applicatifs ), soit à des équipements spécifiques (qui sont des équipements informatiques associés à des logiciels embarqués, sujets à la mise en œuvre de journaux dits périmétriques).
K [pas encore de définition légale commençant par la lettre "K"]
K [non, hélas, il n'existe pas encore de définition légale commençant par la lettre "K"] Nous travaillons d'arrache-pied pour remédier à cet état de fait regrettable. Mais ni Matignon, ni Bruxelles n'ont répondu à nos emails. Signé : la direction.
location [Directive Logiciel du 23 avril 2009]
location [Directive Logiciel n°2009/24/CE du 23 avril 2009] : la mise à disposition d'un programme d'ordinateur ou d'une copie de celui-ci en vue de son utilisation pendant une période limitée et à des fins lucratives.
logiciel [pas de définition légale] ---> "programme d'ordinateur"
logiciel [pas de définition légale] : ---> voir "programme d'ordinateur" [cliquez sur le lien ci-dessous si vous souhaitez accéder à cette définition légale]
logiciel espion [PROJET Règlement e-Privacy v1 - 10 janvier 2017]
logiciel espion [PROJET Règlement e-Privacy v1 du 10 janvier 2017] : pixels invisibles, identificateurs cachés, cookies traceurs et autres outils similaires de suivi non désiré [pouvant] pénétrer dans l’équipement terminal de l’utilisateur final à son insu afin d’accéder à des informations, de stocker des informations cachées et de suivre les activités.
logiciel malveillant [Ex glossaire technique en ligne de l'ANSSI]
logiciel malveillant / code malveillant [Ex glossaire technique de l'ANSSI] : tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Remarques : les virus ou les vers sont deux types de codes malveillants connus.
lutte informatique d’influence (L2i) [État-major des armées 2021]
lutte informatique d’influence (L2i) [État-major des armées 22 octobre 2021] : La lutte informatique d’influence (L2i) désigne les opérations militaires conduites dans la couche informationnelle du cyberespace pour y détecter, caractériser et contrer les attaques, renseigner ou faire de la déception, de façon autonome ou en combinaison avec d’autres opérations.
lutte informatique offensive LIO [doctrine militaire française]
lutte informatique offensive ou LIO [doctrine militaire du Ministère des armées du 9 septembre 2019] La LIO est l’ensemble des actions entreprises dans le cyberespace produisant des effets à l’encontre d’un système adverse, pour en altérer la disponibilité ou la confidentialité des données.
malware [pas de définition légale]
malware [pas de définition légale] : ---> voir "logiciel malveillant" <---
malware [proposition de clause contractuelle v03-2022]
malware [proposition de clause contractuelle v03-2022] : un programme d'ordinateur (notamment virus, bombe logique, vers, cheval de Troie, etc.) installé et/ou utilisé de manière illégitime par un tiers dans le Service et/ou le Logiciel et/ou le Système d'Information d’une partie et (iii) dont le but est de porter atteinte au fonctionnement normalement attendu par les parties de tout ou partie du Service et/ou du Logiciel et/ou du Système d'Information d'une partie.
marqueur technique [article R.2321-1-3 du Code de la défense]
marqueur technique [article R.2321-1-3 du Code de la défense - décret n°2018-1136 du 13 décembre 2018] : éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.
marqueur technique [article R.9-12-2 du CPCE]
marqueur technique [article R.9-12-2 du CPCE ou Code des Postes et des Communications Electroniques] ---> décret n°2018-1136 du 13 décembre 2018 : éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.
mécanisme cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Mécanisme cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Terme général pour désigner une fonction de sécurité utilisant de la cryptographie.
menace [NORME internationale ISO 27000:2018]
menace [NORME internationale ISO 27000:2018] : cause potentielle d'un incident indésirable, qui peut nuire à un système ou à un organisme.
mesure de sécurité [ANSSI référentiel PRIS v2 du 2 aout 2017]
mesure de sécurité [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité] :
ensemble des moyens techniques et non techniques de protection, permettant à un système d’information de réduire le risque d’atteinte à la sécurité de l’information.
mesures organisationnelles [ANSSI référentiel RGS v2 de 2014]
mesures organisationnelles [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : organisation des responsabilités (habilitation du personnel, contrôle des accès, protection physique des éléments sensibles...), gestion des ressources humaines (affectation d’agents responsables de la gestion du système d’information, formation du personnel spécialisé, sensibilisation des utilisateurs).
mesures techniques [ANSSI référentiel RGS v2 du 13 juin 2014]
mesures techniques [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : produits de sécurité (matériels ou logiciels), prestations de services de confiance informatiques ou autres dispositifs de sécurité (blindage, détecteur d’intrusion...).
mesures techniques et organisationnelles [Règlement RGPD]
mesures techniques et organisationnelles [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

métadonnées de communications électroniques [PROJET Règlement e-Privacy v1]
métadonnées de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l'échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l'appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication.
minibon et dispositif d'enregistrement électronique partagé [abrogé CMF]
minibon et dispositif d'enregistrement électronique partagé [Ordonnance n°2016-520 du 28 avril 2016 relative aux bons de caisse modifiant l'article L.223-12 Code monétaire et financier] : Sans préjudice des dispositions de l'article L. 223-4, l'émission et la cession de minibons peuvent également être inscrites dans un dispositif d'enregistrement électronique partagé permettant l'authentification de ces opérations, dans des conditions, notamment de sécurité, définies par décret en Conseil d'Etat ABROGATION par Ordonnance n°2021-1735 du 22 décembre 2021 modernisant le cadre relatif au financement participatif
mode d'intégrité [ANSSI guide de sélection d'algorithmes cryptographiques]
Mode d'intégrité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mode d’intégrité consiste en : une fonction de génération de code d’authentification de message (MAC) prenant en entrées une clé secrète K et un message M et retournant un MAC µ ; une fonction de vérification de MAC prenant en entrées K, M et µ et retournant Vrai ou Faux. Il ne doit pas être possible pour un adversaire de générer une paire message/MAC valide originale, même s’il dispose de la possibilité d’obtenir des paires message/MAC valides de la part des utilisateurs légitimes.
mode opératoire [ANSSI guide de sélection d'algorithmes cryptographiques]
Mode opératoire [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Construction cryptographique basée sur un algorithme de chiffrement par bloc.
modes de chiffrement [ANSSI guide de sélection d'algorithmes cryptographiques]
Modes de chiffrement [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : les modes de chiffrement sont des schémas contenant une fonction de chiffrement, qui transforme un message clair en un message chiffré à l’aide d’une clé secrète, et une fonction de déchiffrement qui permet de retrouver le message clair à partir du message chiffré et de la clé. Ils sont fondés sur un algorithme de chiffrement par bloc. Il existe plusieurs notions de sécurité pour ces mécanismes. Informellement, il doit être difficile de distinguer les chiffrés de chaînes aléatoires.
module d'horodatage [ANSSI référentiel RGS v2]
module d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : produit de sécurité comportant une ressource cryptographique et qui est dédié à la mise en œuvre des fonctions d'horodatage de l'UH, notamment la génération, la conservation et la mise en œuvre de la clé privée de signature de l'UH ainsi que la génération des contremarques de temps.
mot de passe [Ex glossaire technique en ligne de l'ANSSI]
mot de passe [Ex glossaire technique en ligne de l'ANSSI] : un mot de passe est un élément de déverrouillage servant dans la vérification de l’identité annoncée d’une personne par un système d’information.
moteur de recherche en ligne [Règlement P2B 2019]
moteur de recherche en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : un service numérique qui permet aux utilisateurs de formuler des requêtes afin d’effectuer des recherches sur, en principe, tous les sites internet ou les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot-clé, d’une demande vocale, d’une expression ou d’une autre entrée, et qui renvoie des résultats dans quelque format que ce soit dans lesquels il est possible de trouver des informations en rapport avec le contenu demandé.
moyen d'identification électronique [Règlement eIDAS 2014]
moyen d'identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne.
moyen d’identification électronique [ANSSI Référentiel "PVID" 2021]
moyen d’identification électronique [ANSSI Référentiel "PVID" du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] :
élément matériel et/ou immatériel contenant les données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne.
moyen de cryptologie [Loi LCEN n°2004-575 du 21 juin 2004]
moyen de cryptologie [Loi LCEN n°2004-575 du 21 juin 2004] : tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.
NFT "Non Fungible Token" [pas de définition légale] voir "jeton"
NFT [pas de définition légale] : NFT est l'acronyme de "Non Fungible Token" ou "token non fongible". ---> voir "jeton" NDLR : "fongible" (dictionnaire Larousse en ligne) : "Se dit de choses qui se consomment par l'usage et qui peuvent être remplacées par des choses de même nature, de même qualité et de même quantité (par exemple denrées, argent comptant)".
niveau d'assurance [Règlement Cyber Security Act 2019]
niveau d'assurance [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : le fondement permettant de garantir qu’un produit TIC, service TIC ou processus TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité spécifique, indique le niveau auquel un produit TIC, service TIC ou processus TIC a été évalué mais, en tant que tel, ne mesure pas la sécurité du produit TIC, service TIC ou processus TIC concerné.
niveau de sécurité adapté au risque [cité dans RGPD]
niveau de sécurité adapté au risque [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Non Fungible Token [pas de définition légale] voir "jeton"
Non Fungible Token ou "token non fongible" [pas de définition légale] ---> voir "jeton" NDLR : "fongible" (dictionnaire Larousse en ligne) : "Se dit de choses qui se consomment par l'usage et qui peuvent être remplacées par des choses de même nature, de même qualité et de même quantité (par exemple denrées, argent comptant)".
non-répudiation [ANSSI guide de sélection d'algorithmes cryptographiques]
Non-répudiation [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Propriété qui assure qu’une entité ne peut pas renier un engagement ou une action passés.
nonce [ANSSI guide de sélection d'algorithmes cryptographiques]
Nonce [ANSSI guide de sélection d'algorithmes cryptographiques - 8 mars 2021] : Valeur qui ne peut être utilisée plus d’une fois.
numéro géographique [Directive CCEE du 11 décembre 2018]
numéro géographique [UE 2018/1972 CCEE du 11 décembre 2018] : un numéro du plan national de numérotation dont une partie de la structure numérique a une signification géographique utilisée pour acheminer les appels vers le lieu physique du point de terminaison du réseau.
numéro non géographique [Directive CCEE 2018]
numéro non géographique [Directive CCEE n°2018/1972 du 11 décembre 2018] : un numéro du plan national de numérotation qui n’est pas un numéro géographique, tel que les numéros mobiles, les numéros d’appel gratuits et les numéros à taux majoré.
objectif de sécurité [ANSSI guide de sélection d'algorithmes cryptographiques]
Objectif de sécurité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Objectif de prévention de menaces spécifiques et/ou de satisfaction d’une politique de sécurité. Par exemple, des objectifs de sécurité peuvent être la confidentialité des données, leur intégrité, etc.
offre au public de jetons [art. L.552-3 Code monétaire financier]
offre au public de jetons [article L.552-3 du Code monétaire et financier] : Une offre au public de jetons consiste à proposer au public, sous quelque forme que ce soit, de souscrire à ces jetons. Ne constitue pas une offre au public de jetons l'offre de jetons ouverte à la souscription par un nombre limité de personnes, fixé par le règlement général de l'Autorité des marchés financiers, agissant pour compte propre.
OIV Opérateur d'Importance Vitale [article L.1332-1 Code défense]
OIV Opérateur d'Importance Vitale [article L.1332-1 du Code de la défense] : Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenus de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l'autorité administrative. ---> loi n°2005-1550 du 12 décembre 2005
OIV Opérateur d'Importance Vitale [article R.1332-2 Code défense]
OIV Opérateur d'Importance Vitale [article R.1332-2 du Code de la défense] : I.-Les opérateurs d'importance vitale sont désignés parmi : 1° Les opérateurs publics ou privés mentionnés à l'article L. 1332-1 ; 2° Les gestionnaires d'établissements mentionnés à l'article L. 1332-2. II.-Un opérateur d'importance vitale : 1° Exerce des activités mentionnées à l'article R. 1332-2 et comprises dans un secteur d'activités d'importance vitale ; 2° Gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement : a) D'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ; b) Ou de mettre gravement en cause la santé ou la vie de la population.
opérateur de plateforme en ligne [Loi République Numérique 2016]
opérateur de plateforme en ligne [Loi République Numérique n°2016-1321 du 7 octobre 2016] : Est qualifiée d'opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 1) Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2) Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service.
ordinateur [pas de définition légale]
ordinateur [pas de définition légale] non, aucune définition légale, malgré nos recherches. Nous contacter en cas d'idée (pitié, pas celles de la Commission d'enrichissement de la langue française, qui ne propose aucune définition légale pour les contrats sur le droit du numérique).
OSE - opérateur de service essentiel [Directive NIS 2016/1148]
opérateur de service essentiel - OSE [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : une entité publique ou privée avec ... les critères d'identification ... suivants : a) une entité fournit un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques; b) la fourniture de ce service tributaire des réseaux et des systèmes d'information; c) un incident aurait un effet disruptif important sur la fourniture dudit service.
pare-feu [Ex glossaire technique en ligne de l'ANSSI]
pare-feu [Ex glossaire technique en ligne de l'ANSSI] : un pare-feu (ou garde-barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.
pénalité [clause pénale] [article 1231-5 Code civil]
pénalité [clause pénale] [article 1231-5 Code civil] : Lorsque le contrat stipule que celui qui manquera de l'exécuter paiera une certaine somme à titre de dommages et intérêts, il ne peut être alloué à l'autre partie une somme plus forte ni moindre. Néanmoins, le juge peut, même d'office, modérer ou augmenter la pénalité ainsi convenue si elle est manifestement excessive ou dérisoire. Lorsque l'engagement a été exécuté en partie, la pénalité convenue peut être diminuée par le juge, même d'office, à proportion de l'intérêt que l'exécution partielle a procuré au créancier, sans préjudice de l'application de l'alinéa précédent. Toute stipulation contraire aux deux alinéas précédents est réputée non écrite. Sauf inexécution définitive, la pénalité n'est encourue que lorsque le débiteur est mis en demeure.
pénalité [clause pénale] [TVA - Bulletin Officiel des Finances Publiques]
pénalité [clause pénale] [TVA - Bulletin Officiel des Finances Publiques] :

Les pénalités de retard sont considérées comme des indemnités, ayant pour objet de sanctionner le retard pris par le fournisseur dans l'exécution du contrat et de réparer le préjudice subi, de ce fait, par le client.

Elles ne constituent pas la contrepartie d'une livraison de biens ou d'une prestation de services et ne sont donc pas situées dans le champ d'application de la TVA.

perte [de données personnelles] [Règlement RGPD]
perte [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  
phishing [Ex glossaire technique en ligne de l'ANSSI]
phishing [Ex glossaire technique en ligne de l'ANSSI] : vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.
point d'accès sans fil à portée limitée [Directive CCEE 2018]
point d'accès sans fil à portée limitée [Directive CCEE n°2018/1972 du 11 décembre 2018] : un équipement d’accès sans fil au réseau à faible puissance, de taille réduite et de portée limitée, utilisant le spectre radioélectrique sous licence ou en exemption de licence ou une combinaison de spectre radioélectrique sous licence et en exemption de licence, qui peut être utilisé comme une partie d’un réseau de communications électroniques public, qui peut être équipé d’une ou plusieurs antennes à faible impact visuel, et qui permet l’accès sans fil des utilisateurs aux réseaux de communications électroniques quelle que soit la topologie de réseau sous-jacente, qu’il s’agisse d’un réseau mobile ou fixe.
point de terminaison du réseau [Directive CCEE 2018]
point de terminaison du réseau [Directive CCEE n°2018/1972 du 11 décembre 2018] : e point physique auquel un utilisateur final obtient l’accès à un réseau de communications électroniques public et qui est, dans le cas de réseaux utilisant la commutation et l’acheminement, identifié par une adresse réseau spécifique, qui peut être rattachée au numéro ou au nom d’un utilisateur final.
point de terminaison du réseau [Directive Paquet Télécom II 2009]
point de terminaison du réseau [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : point physique par lequel un abonné obtient l’accès à un réseau de communications public; dans le cas de réseaux utilisant la commutation et l’acheminement, le PTR est identifié par une adresse réseau spécifique qui peut être rattachée au numéro ou au nom de l’abonné.
politique d'horodatage [ANSSI référentiel RGS v2]
politique d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : ensemble de règles, identifié par un nom (OID), définissant les exigences auxquelles une AH se conforme dans la mise en place et la fourniture de ses prestations et indiquant l'applicabilité d'une contremarque de temps à une communauté particulière et/ou une classe d'application avec des exigences de sécurité communes. Une PH peut également, si nécessaire, identifier les obligations et exigences portant sur les autres intervenants, notamment les abonnés et les utilisateurs de contremarques de temps.
politique de sécurité économique [décret du 20 mars 2019]
politique de sécurité économique [décret n°2019-206 du 20 mars 2019 relatif à la gouvernance de la politique de sécurité économique] article 1er : I. - La politique de sécurité économique vise à assurer la défense et la promotion des intérêts économiques, industriels et scientifiques de la Nation, constitués notamment des actifs matériels et immatériels stratégiques pour l'économie française. Elle inclut la défense de la souveraineté numérique. II. - L'instruction des décisions proposées au conseil de défense et de sécurité nationale en matière de sécurité économique et le suivi de leur mise en œuvre sont coordonnés par le comité de liaison en matière de sécurité économique. Présidé par le secrétaire général de la défense et de la sécurité nationale, ce comité réunit, outre le coordonnateur national du renseignement et de la lutte contre le terrorisme, les représentants des ministres chargés de l'Europe et des affaires étrangères, des armées, de la transition écologique, des solidarités et de la santé, de l'économie et des finances, de l'action et des comptes publics, de l'intérieur, de l'enseignement supérieur, de la recherche et de l'innovation, de l'agriculture et de l'alimentation. Des représentants d'autres ministères peuvent également être invités en fonction de l'ordre du jour du comité. Il coordonne les actions menées par les services de l'Etat en matière de sécurité économique. Il concourt à la cohérence des politiques publiques mises en œuvre par chaque ministère concerné avec la politique de sécurité économique.
porte dérobée [Ex glossaire technique en ligne de l'ANSSI]
porte dérobée [Ex glossaire technique en ligne de l'ANSSI] : accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.
posture permanente cyber [PPC] [Politique ministérielle de lutte informatique défensive 2019]
posture permanente cyber [PPC] [politique ministérielle de lutte informatique défensive 2019] : la PPC est constituée de l’ensemble des dispositions adoptées pour assurer en permanence (24h/7j) la défense des systèmes informatiques du ministère [des armées]. Elle identifie quatre niveaux de menace : - jaune et orange : risques potentiels plus ou moins importants ; - rouge : risques hostiles jugés plausibles ; - écarlate : risques majeurs et simultanés. ---> NOTE : le .pdf de référence du Ministère des armées est sans date. La date retenue est celle de sa dernière consultation en ligne.
potentiel d’attaque [ANSSI Référentiel PVID 2021]
potentiel d’attaque [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : mesure de l’effort à fournir pour attaquer un service de vérification d’identité à distance, exprimée en termes d’expertise, de ressources et de motivation d’un attaquant. L’annexe B.4 du document [CC_CEM] fournit des indications relatives au calcul d’un potentiel d’attaque élevé (« high ») ou modéré (« moderate »).
prestataire de services de confiance [Règlement eIDAS 2014]
prestataire de services de confiance [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié.
prestataire de services de confiance qualifié [Règlement eIDAS 2014]
prestataire de services de confiance qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié.
prestation de cryptologie [Loi LCEN du 21 juin 2004]
prestation de cryptologie [Loi LCEN n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique] : toute opération visant à la mise en œuvre, pour le compte d'autrui, de moyens de cryptologie.
primitive cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Primitive cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Mécanisme cryptographique utilisé pour construire un mécanisme de plus haut niveau.
processus (informatique) [NORME internationale ISO 27000:2018]
processus (informatique) [NORME internationale ISO 27000:2018] : ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie. ---> voir la définition de "processus TIC"
processus TIC [Règlement Cyber Security Act 2019-881 du 17 avril 2019]
processus TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance.
produit [Règlement eIDAS n°910/2014 du 23 juillet 2014]
produit [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services de confiance.
produit de sécurité [ANSSI référentiel RGS v2 du 13 juin 2014]
produit de sécurité [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : un dispositif, de nature logicielle et/ou matérielle, dont l’utilisation est requise pour mettre en œuvre des fonctions de sécurité nécessaires à la sécurisation d’une information dématérialisée (lors d'un échange, d'un traitement et/ou du stockage de cette information). Ce terme générique couvre notamment les dispositifs de signature électronique, les dispositifs d’authentification et les dispositifs de protection de la confidentialité.
produit TIC [Règlement Cyber Security Act 2019-881 du 17 avril 2019]
produit TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma [du système] d’information.
profilage [Règlement RGPD n°2016/679 du 27 avril 2016]
profilage [Règlement RGPD 2016/679 du 27 avril 2016] : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
programme d'ordinateur [Directive Logiciel du 23 avril 2009]
programme d'ordinateur [Directive Logiciel n°2009/24/CE du 23 avril 2009] : les programmes sous quelque forme que ce soit, y compris ceux qui sont incorporés au matériel.
prospection directe [communications électroniques] [L.34-5 CPCE]
prospection directe [par communications électroniques] [article L.34-5 du "CPCE" ou Code des Postes et des Communications Electroniques] : l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. Pour l'application du présent article [L.34-5 CPCE], les appels et messages ayant pour objet d'inciter l'utilisateur ou l'abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe.
protocole blockchain [pas de définition légale]
protocole blockchain [pas de définition légale] : ---> voir "DEEP" ou "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à la définition légale correspondante]
protocole cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Protocole cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Protocole qui implémente une fonction de sécurité utilisant de la cryptographie et qui peut être considéré comme un schéma cryptographique interactif.
PSAP [Directive CCEE n°2018/1972 du 11 décembre 2018]
PSAP [Directive UE CCEE n°2018/1972 du 11 décembre 2018] : un lieu physique où est réceptionnée initialement une communication d’urgence sous la responsabilité d’une autorité publique ou d’un organisme privé reconnu par l’État membre.
PSAP le plus approprié [Directive CCEE 2018]
PSAP le plus approprié [Directive CCEE n°2018/1972 du 11 décembre 2018] : un PSAP établi par les autorités compétentes pour prendre en charge les communications d’urgence provenant d’une certaine zone ou les communications d’urgence d’un certain type.
pseudonymisation [cité dans RGPD] sécurité du traitement
pseudonymisation [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

pseudonymisation [Règlement RGPD du 27 avril 2016]
pseudonymisation [Règlement RGPD n°2016/679 du 27 avril 2016] : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.
PTR [Directive Paquet Télécom II du 25 novembre 2009]
PTR ou point de terminaison du réseau [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : point physique par lequel un abonné obtient l’accès à un réseau de communications public; dans le cas de réseaux utilisant la commutation et l’acheminement, le PTR est identifié par une adresse réseau spécifique qui peut être rattachée au numéro ou au nom de l’abonné.
qualification [ANSSI référentiel RGS v2 du 13 juin 2014]
qualification [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : label, créé par l’ordonnance du 8 décembre 2005, qui permet d’attester de la confiance que l’on peut accorder à des produits de sécurité et à des prestataires de services de confiance (PSCO), ainsi que de leur conformité aux règles du RGS qui leurs sont applicables. D’autres labels existent pour attester de la compétence des professionnels, notamment en matière de SSI.
rançongiciel [Ex glossaire technique en ligne de l'ANSSI]
rançongiciel [Ex glossaire technique en ligne de l'ANSSI] : forme d’extorsion imposée par un code malveillant sur un utilisateur du système. Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon. Lorsqu’un rançongiciel infecte un poste de travail, le plus souvent (mais pas nécessairement) par l’envoi d’un courrier électronique piégé, l’infection est dès lors susceptible de s’étendre au reste du système d’information (serveurs, ordinateurs, téléphonie, systèmes industriels, etc. ).
ransomware [Ex glossaire technique en ligne de l'ANSSI]
ransomware [Ex glossaire technique en ligne de l'ANSSI] : forme d’extorsion imposée par un code malveillant sur un utilisateur du système. Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon. Lorsqu’un rançongiciel infecte un poste de travail, le plus souvent (mais pas nécessairement) par l’envoi d’un courrier électronique piégé, l’infection est dès lors susceptible de s’étendre au reste du système d’information (serveurs, ordinateurs, téléphonie, systèmes industriels, etc. ).
règles d'entreprise contraignantes [Règlement RGPD 2016]
règles d'entreprise contraignantes [Règlement RGPD n°2016/679 du 27 avril 2016] : les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe. ---> B.C.R. ou "Binding Corporate Rules" en vEN
règles de détection [ANSSI référentiel PDIS v2 décembre 2017]
règles de détection [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : liste d’éléments techniques permettant d’identifier un incident à partir d’un ou de plusieurs évènements. Une règle de détection peut être un ou des marqueurs, une ou des signatures ou une règle comportementale basée sur un comportement défini comme anormal. Une règle de détection peut provenir de l’éditeur des outils techniques d’analyse utilisés pour le service de détection, du prestataire (veille sur de nouveaux incidents, règle utilisée pour un autre commanditaire avec son accord, etc.), d’un partenaire, d’un fournisseur spécialisé, ou encore avoir été créée spécifiquement pour répondre à un besoin du commanditaire.
réseau [de communications électroniques] [Directive CCEE n°2018/1872 du 11 décembre 2018]
réseau [de communications électroniques] [Directive CCEE n°2018/1972 du 11 décembre 2018] : les systèmes de transmission, qu’ils soient ou non fondés sur une infrastructure permanente ou une capacité d’administration centralisée et, le cas échéant, les équipements de commutation ou de routage et les autres ressources, y compris les éléments de réseau qui ne sont pas actifs, qui permettent l’acheminement de signaux par câble, par la voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux fixes (avec commutation de circuits ou de paquets, y compris l’internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise.
réseau [de communications électroniques] [Directive NIS 2016]
réseau [de communications électroniques] [Directive UE n°2016/1148 NIS (Network Information Security) du 6 juillet 2016] : a) un réseau de communications électroniques au sens de l’article 2, point a), de la directive 2002/21/CE ---> la Directive UE 2002/21 a été abrogée et remplacée par la Directive UE "CCEE" n°2018/1972 du 11 décembre 2018 établissant un Code des communications électroniques européen ---> Définition à jour à la date du 11 décembre 2018 <---
réseau [de communications électroniques] [Directive Paquet Télécom II 2009]
réseau [de communications électroniques] [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : les systèmes de transmission et, le cas échéant, les équipements de commutation ou de routage et les autres ressources, y compris les éléments de réseau qui ne sont pas actifs, qui permettent l’acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux terrestres fixes (avec commutation de circuits ou de paquets, y compris l’internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise. ---> Directive modifiant la Directive 2002/21 qui a été abrogée et remplacée par la Directive UE "CCEE" n°2018/1972 du 11 décembre 2018 établissant un Code des communications électroniques européen

--->Définition à jour à la date du 11 décembre 2018<---

réseau [de communications électroniques] [Règlement Cyber Security Act 2019-881]
réseau [de communications électroniques] [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un réseau et système d’information au sens de l’article 4, point 1), de la directive (UE) 2016/1148. ---> la Directive UE 2016/1148 du 6 juillet 2016 se réfère à la Directive UE 2002/21 abrogée et remplacée par la Directive UE "CCEE" n°2018/1972 du 11 décembre 2018 établissant un Code des communications électroniques européen

---> Définition à jour à la date du 11 décembre 2018 <---

réseau à très haute capacité [Directive CCEE 2018]
réseau à très haute capacité [Directive CCEE n°2018/1972 du 11 décembre 2018]: un réseau de communications électroniques qui est entièrement composé d’éléments de fibre optique au moins jusqu’au point de distribution au lieu de desserte, soit un réseau de communications électroniques qui est capable d’offrir, dans des conditions d’heures de pointe habituelles, une performance du réseau comparable en termes de débit descendant et ascendant, de résilience, de paramètres liés aux erreurs, de latence et de gigue; la performance du réseau peut être jugée comparable indépendamment des variations de l’expérience de l’utilisateur final qui sont dues aux caractéristiques intrinsèquement différentes du support par lequel se fait la connexion ultime du réseau au point de terminaison du réseau.
réseau de communications électroniques public [Directive CCEE 2018]
réseau de communications électroniques public [Directive CCEE n°2018/1972 du 11 décembre 2018] : un réseau de communications électroniques utilisé entièrement ou principalement pour la fourniture de services de communications électroniques accessibles au public permettant la transmission d’informations entre les points de terminaison du réseau.
réseau de communications public [Directive Paquet Télécom II 2009]
réseau de communications public [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : un réseau de communications électroniques utilisé entièrement ou principalement pour la fourniture de services de communications électroniques accessibles au public permettant la transmission d’informations entre les points de terminaison du réseau.
réseau local hertzien [Directive CCEE du 11 décembre 2018]
réseau local hertzien [Directive CCEE n°2018/1972 du 11 décembre 2018] : un système d’accès sans fil à faible puissance, de portée limitée, présentant un faible risque de brouillage avec d’autres systèmes similaires déployés à proximité immédiate par d’autres utilisateurs et utilisant, sur une base non exclusive, du spectre radioélectrique harmonisé.
réseaux de machines zombies [Ex glossaire technique de l'ANSSI]
réseaux de machines zombies [Ex glossaire technique de l'ANSSI] : un Botnet, autrement dit un réseau de bots (botnet : contraction de réseau de robots), est un réseau de machines compromises à la disposition d’un individu malveillant (le maître). Ce réseau est structuré de façon à permettre à son propriétaire de transmettre des ordres à tout ou partie des machines du botnet et de les actionner à sa guise. Remarques : Certains ensembles peuvent atteindre des nombres considérables de machines (plusieurs milliers). Celles-ci peuvent faire l’objet de commerce illicite ou d’actions malveillantes contre d’autres machines. Elles sont souvent pilotées par des commandes lancées à travers un canal de contrôle comme le service IRC (Internet Relay Chat).
résilience [cité dans Règlement RGPD]
résilience [cité à l'article 32.1 b) "sécurité du traitement" du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

résilience [dictionnaire Larousse en ligne]
résilience [dictionnaire Larousse en ligne] : nom féminin (anglais resilience, rebondissement) 1. capacité mécanique définissant la résistance aux chocs d’un matériau… 4. INFORMATIQUE capacité d’un système [d’information] à continuer à fonctionner, même en cas de panne" [NDLR : ou de cyber attaque]
résilience [en cyber-sécurité] [wikipedia encyclopédie en ligne]
résilience [wikipédia] : « Résilience » désigne originellement la résistance d'un matériau aux chocs ; (le « fait de rebondir », du latin resilientia, de resiliens), définition ensuite étendue à la capacité d'un corps, d'un organisme, d'une espèce, d'un système, d'une structure à surmonter une altération de son environnement. Ce concept est utilisé dans plusieurs contextes : ...
  • en informatique, la résilience est la capacité d'un système ou d'une architecture réseau à continuer de fonctionner en cas de panne ;
  • dans le domaine de la cybersécurité, la cyber résilience est la capacité d'un système à assurer en permanence les fonctionnalités prévues malgré des cyber-événements indésirables ;
  • dans le domaine des télécommunications, la résilience des réseaux de télécommunication désigne le fait de pouvoir garantir aux utilisateurs d'un réseau de recevoir les services téléphoniques même lorsqu'une ligne ou un élément du réseau est hors d’usage ;
résilience [Ex glossaire technique en ligne de l'ANSSI]
résilience [Ex glossaire technique en ligne de l'ANSSI] : en informatique, capacité d’un système d’information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l’incident.
résilience [NORME internationale ISO 22300:2021 FR]
résilience [NORME internationale ISO 22300:2021 FR] "Sécurité et résilience - vocabulaire" aptitude à absorber et s’adapter dans un environnement changeant
résilience organisationnelle [NORME internationale ISO 22300]
résilience organisationnelle [NORME internationale ISO 22300:2021 FR] "Sécurité et résilience - vocabulaire" aptitude d'un organisme à absorber et s’adapter dans un environnement changeant
responsable du traitement [Règlement RGPD 2016]
responsable du traitement [Règlement RGPD n°2016/679 du 27 avril 2016] : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.
ressources associées [Directive Paquet Télécom II 2009]
ressources associées [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : les services associés, infrastructures physiques et autres ressources ou éléments associés à un réseau de communications électroniques et/ou à un service de communications électroniques, qui permettent et/ou soutiennent la fourniture de services via ce réseau et/ou ce service ou en ont le potentiel, et comprennent, entre autres, les bâtiments ou accès aux bâtiments, le câblage des bâtiments, les antennes, tours et autres constructions de soutènement, les gaines, conduites, pylônes, trous de visite et boîtiers.
réutilisation [Directive Base de données 1996]
réutilisation [Directive Base de données n°96/9/CE du 11 mars 1996] : toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes. La première vente d'une copie d'une base de données dans la Communauté par le titulaire du droit, ou avec son consentement, épuise le droit de contrôler la revente de cette copie dans la Communauté.
risque [Directive NIS 2016/1148 du 6 juillet 2016]
risque [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : toute circonstance ou tout événement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d'information.
risque [NORME internationale ISO 27000:2018]
risque [NORME internationale ISO 27000:2018] : effet de l’incertitude sur les objectifs ("résultat à atteindre"). Note 1 : un effet est un écart, positif ou négatif, par rapport à une attente. Note 2 : L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou la connaissance d’un événement, de ses conséquences ou de sa vraisemblance. Note 3 : Un risque est souvent caractérisé en référence à des « événements » potentiels (tels que définis dans le Guide ISO 73 :2009, 3.5.1.3) et des « conséquences » potentielles (telles que définies dans le Guide ISO 73 :2009, 3.6.1.3), ou à une combinaison des deux. Note 4 : Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (incluant des changements de circonstances) et de sa « vraisemblance » (telle que définie dans le Guide ISO 73 :2009, 3.6.1.1). Note 5 : Dans le contexte des systèmes de management de la sécurité de l’information, les risques liés à la sécurité de l’information peuvent être exprimés comme l’effet de l’incertitude sur les objectifs de sécurité de l’information. Note 6 : Le risque lié à la sécurité de l’information est associé à la possibilité que des menaces exploitent les vulnérabilités d’un actif ou d’un groupe d’actifs informationnels et nuisent donc à un organisme.
risque lié à la sécurité de l’information [ANSSI référentiel PDIS v2]
risque lié à la sécurité de l’information [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : scénario décrivant l’effet de l’incertitude sur l’activité et exprimé en une combinaison des conséquences d’un événement lié à la sécurité de l’information et de sa probabilité d’occurrence.
RLAN [Directive CCEE n°2018/1972 du 11 décembre 2018]
RLAN [Directive CCEE n°2018/1972 du 11 décembre 2018] : un système d’accès sans fil à faible puissance, de portée limitée, présentant un faible risque de brouillage avec d’autres systèmes similaires déployés à proximité immédiate par d’autres utilisateurs et utilisant, sur une base non exclusive, du spectre radioélectrique harmonisé.
SAIV ---> voir secteurs d'activités d'importance vitale
SAIV ---> voir secteurs d'activités d'importance vitale [arrêté du 6 juin 2006] Activités civiles de l’Etat Activités militaires de l’Etat Alimentation Communications électroniques, audiovisuel et information Energie [modifié à la marge par l'arrêté du 3 juillet 2008] Espace et recherche Finances Gestion de l’eau Industrie Santé Transports
SAIV secteurs d'activités d'importance vitale [arrêté juin 2006]
liste des secteurs d'activités d'importance vitale [arrêté du 2 juin 2006] Activités civiles de l’Etat Activités militaires de l’Etat Alimentation Communications électroniques, audiovisuel et information Energie [modifié à la marge par l'arrêté du 3 juillet 2008] Espace et recherche Finances Gestion de l’eau Industrie Santé Transports
savoir-faire ou information [Directive Secrets d'affaires n°2016/943 du 8 juin 2016]
savoir-faire ou information [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : [Considérant 14] Il importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite. Cette définition devrait dès lors être élaborée de façon à couvrir les savoir-faire, les informations commerciales et les informations technologiques lorsqu'il existe à la fois un intérêt légitime à les garder confidentiels et une attente légitime de protection de cette confidentialité. Par ailleurs, ces savoir-faire ou informations devraient avoir une valeur commerciale, effective ou potentielle. Ces savoir-faire ou informations devraient être considérés comme ayant une valeur commerciale, par exemple lorsque leur obtention, utilisation ou divulgation illicite est susceptible de porter atteinte aux intérêts de la personne qui en a le contrôle de façon licite en ce qu'elle nuit au potentiel scientifique et technique de cette personne, à ses intérêts économiques ou financiers, à ses positions stratégiques ou à sa capacité concurrentielle. La définition du secret d'affaires exclut les informations courantes et l'expérience et les compétences obtenues par des travailleurs dans l'exercice normal de leurs fonctions et elle exclut également les informations qui sont généralement connues de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou qui leur sont aisément accessibles.
schéma cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Schéma cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : algorithme cryptographique distribué faisant intervenir plusieurs entités (possédant généralement un secret partagé) qui atteint un objectif de sécurité.
schéma d'identification électronique [Règlement eIDAS 2014]
schéma d'identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales.
schéma européen de certification de cyber sécurité [Règlement Cyber Security Act 2019]
schéma européen de certification de cybersécurité [ Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble complet de règles, d’exigences techniques, de normes et de procédures qui sont établies à l’échelon de [l’UE] et qui s’appliquent à la certification ou à l’évaluation de la conformité de produits TIC, services TIC ou processus TIC spécifiques.
schéma national de certification de cyber sécurité [Règlement Cyber Security Act 2019]
schéma national de certification de cybersécurité [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble complet de règles, d’exigences techniques, de normes et de procédures élaborées et adoptées par une autorité publique nationale et qui s’appliquent à la certification ou à l’évaluation de la conformité des produits TIC, services TIC et processus TIC relevant de ce schéma spécifique.
schémas symétriques d'authentification d'entité [ANSSI guide de sélection d'algorithmes cryptographiques]
Schémas symétriques d'authentification d'entité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Ces schémas permettent à une entité de prouver son identité à un correspondant en utilisant la connaissance d’un secret. Par nature, ces schémas sont interactifs. Ils consistent généralement à mettre en oeuvre un protocole de défi-réponse reposant sur l’utilisation d’aléa et d’une primitive symétrique ou d’un mécanisme de chiffrement ou d’intégrité. Nous ne donnons pas de liste pour ce type de schéma. Il est important de garder à l’esprit que même si ces schémas peuvent reposer sur le calcul d’un motif d’intégrité, leurs objectifs de sécurité sont différents de ceux des schémas d’authentification de données. Par conséquent, une même clé ne doit pas être utilisée pour un mode d’intégrité et pour un schéma symétrique d’authentification d’entité.
secret d'affaires 1 [Directive Secrets d'affaires juin 2016]
secret d'affaires 1 [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : [Considérant 14] Il importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite. Cette définition devrait dès lors être élaborée de façon à couvrir les savoir-faire, les informations commerciales et les informations technologiques lorsqu'il existe à la fois un intérêt légitime à les garder confidentiels et une attente légitime de protection de cette confidentialité. Par ailleurs, ces savoir-faire ou informations devraient avoir une valeur commerciale, effective ou potentielle. Cescsavoir-faire ou informations devraient être considérés comme ayant une valeur commerciale, par exemple lorsque leur obtention, utilisation ou divulgation illicite est susceptible de porter atteinte aux intérêts de la personne qui en a le contrôle de façon licite en ce qu'elle nuit au potentiel scientifique et technique de cette personne, à ses intérêts économiques ou financiers, à ses positions stratégiques ou à sa capacité concurrentielle. La définition du secret d'affaires exclut les informations courantes et l'expérience et les compétences obtenues par des travailleurs dans l'exercice normal de leurs fonctions et elle exclut également les informations qui sont généralement connues de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou qui leur sont aisément accessibles.
secret d'affaires 2 [Directive Secrets d'affaires juin 2016]
secret d'affaires [Directive Secrets d'affaires n°2016/943 du 8 juin 2016, Article 2] : des informations qui répondent à toutes les conditions suivantes : a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles, b) elles ont une valeur commerciale parce qu'elles sont secrètes, c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes.
secret de la défense nationale [article 413-9 du Code pénal]
secret de la défense nationale [article 413-9 du Code pénal] : Présentent un caractère de secret de la défense nationale au sens de la présente section les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers intéressant la défense nationale qui ont fait l'objet de mesures de classification destinées à restreindre leur diffusion ou leur accès. Peuvent faire l'objet de telles mesures les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation ou auxquels l'accès est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d'un secret de la défense nationale. Les niveaux de classification des procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers présentant un caractère de secret de la défense nationale et les autorités chargées de définir les modalités selon lesquelles est organisée leur protection sont déterminés par décret en Conseil d'Etat.
secteur d'activités d'importance vitale [article R.1332-2 Code défense]
SAIV secteur d'activités d'importance vitale [article R.1332-2 du Code de la défense] : Un secteur d'activités d'importance vitale, mentionné au 1° du II de l'article R. 1332-1, est constitué d'activités concourant à un même objectif, qui : 1° Ont trait à la production et la distribution de biens ou de services indispensables : a) A la satisfaction des besoins essentiels pour la vie des populations ; b) Ou à l'exercice de l'autorité de l'Etat ; c) Ou au fonctionnement de l'économie ; d) Ou au maintien du potentiel de défense ; e) Ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables ; 2° Ou peuvent présenter un danger grave pour la population. Le Premier ministre fixe, par arrêté pris après avis de la commission mentionnée à l'article R. 1332-10, les secteurs d'activités d'importance vitale. Cet arrêté désigne pour chaque secteur d'activités d'importance vitale un ministre coordonnateur, qui veille à l'application des directives du gouvernement dans ce secteur, le cas échéant en liaison avec le ou les ministres dont le domaine de compétence recouvre les activités qui y sont exercées. Le ministre de la défense est le ministre coordonnateur des secteurs d'activités d'importance vitale constitués d'activités qui participent de façon directe à la satisfaction des besoins des forces armées et des formations rattachées.
sécurité [Directive NIS 2016/1148 du 6 juillet 2016]
sécurité [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.
sécurité [données personnelles] [Règlement RGPD n°2016/679]
sécurité [données personnelles] [Règlement RGPD n°2016/679 du 27 avril 2016] : moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement [de données à caractère personnel].
sécurité d’un système d’information [ANSSI Référentiel
sécurité d’un système d’information [ANSSI Référentiel "PASSI" du 6 octobre 2015 (Prestataires d’Audit de la Sécurité des Systèmes d’Information)] : ensemble des moyens techniques et non-techniques de protection, permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données, traitées ou transmises et des services connexes que ces systèmes offrent ou rendent accessibles.
sécurité de l'information [ANSSI référentiel PRIS v2 - aout 2017]
sécurité de l'information [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : préservation de la confidentialité, l’intégrité et la disponibilité de l’information. ---> à rapprocher de la définition de "sécurité des réseaux et des systèmes d'information" dans la Directive NIS de 2016 et le projet de Directive NIS2 de 2020.
sécurité de l'information [NORME internationale ISO 27000:2018]
sécurité de l'information [NORME internationale ISO 27000:2018] : protection de la confidentialité, de l'intégrité et de la disponibilité de l'information.
sécurité des réseaux et des systèmes d'information [Directive NIS 2016]
sécurité des réseaux et des systèmes d'information [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.
sécurité des réseaux et services [Directive CCEE 2018]
sécurité des réseaux et services [Directive CCEE n°2018/1972 du 11 décembre 2018] : la capacité des réseaux et services de communications électroniques de résister, à un niveau de confiance donné, à toute action qui compromet la disponibilité, l’authenticité, l’intégrité ou la confidentialité de ces réseaux et services, de données stockées, transmises ou traitées ou des services connexes offerts par ces réseaux ou services de communications électroniques ou rendus accessibles via de tels réseaux ou services.
sécurité du traitement [de données personnelles] [art. 32 RGPD]
sécurité du traitement [de données personnelles] [titre de l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

sécurité numérique [des systèmes d'information et de communication de l'Etat] [Décret n°2019-1088 du 25 octobre 2019]
sécurité numérique [des systèmes d'information et de communication de l'Etat] [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Le système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle. Il est placé sous la responsabilité du Premier ministre, qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système. Sont exclus du champ d'application du présent titre les systèmes d'information et de communication visés au deuxième alinéa de l'article 1er du décret du 28 juin 2018 susvisé ainsi que ceux opérés par les services mentionnés à l'article D. 3126-2 du code de la défense et à l'article 1er du décret du 30 avril 2014 susvisé. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE
service d'achat ou de vente d'actifs numériques en monnaie ayant cours légal [Décret PSAN 2019]
service d'achat ou de vente d'actifs numériques en monnaie ayant cours légal [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de conclure des contrats d'achat ou de vente pour le compte d'un tiers portant sur des actifs numériques en monnaie ayant cours légal, avec, le cas échéant, interposition du compte propre du prestataire de service.
service d'échange d'actifs numériques contre d'autres actifs numériques [Décret PSAN 2019]
service d'échange d'actifs numériques contre d'autres actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de conclure des contrats prévoyant l'échange pour le compte d'un tiers d'actifs numériques contre d'autres actifs numériques, avec, le cas échéant, interposition du compte propre du prestataire de service.
service d'envoi recommandé électronique [Règlement eIDAS 2014]
service d'envoi recommandé électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.
service d'envoi recommandé électronique qualifié [Règlement eIDAS 2014]
service d'envoi recommandé électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service d’envoi recommandé électronique qui satisfait aux exigences fixées à l’article 44 { du texte précité}.
service d'exploitation d'une plateforme de négociation d'actifs numériques [Décret PSAN 2019]
service d'exploitation d'une plateforme de négociation d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de gérer une ou plusieurs plateformes de négociation d'actifs numériques, au sein desquelles de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des actifs numériques contre d'autres actifs numériques ou en monnaie ayant cours légal peuvent interagir d'une manière qui aboutisse à la conclusion de contrats.
service d'horodatage [ANSSI référentiel RGS v2]
service d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : ensemble des prestations nécessaires à la génération et à la gestion de contremarques de temps. ---> voir "contremarques de temps"
service d'informatique en nuage [Directive NIS 2016-1148]
service d'informatique en nuage [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.
service d'urgence [Directive CCEE du 11 décembre 2018]
service d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service, reconnu comme tel par l’État membre, qui fournit une assistance immédiate et rapide en cas, notamment, de risque direct pour la vie ou l’intégrité physique de personnes, pour la santé ou la sûreté publique ou individuelle, pour la propriété privée ou publique ou pour l’environnement, conformément au droit national.
service de coffre-fort numérique [Loi République Numérique 2016]
service de coffre-fort numérique [Loi République Numérique n°2016-1321 du 7 octobre 2016] : un service de coffre-fort numérique est un service qui a pour objet : 1) La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine ; 2) La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l'utilisateur ; 3) L'identification de l'utilisateur lors de l'accès au service par un moyen d'identification électronique respectant l'article L. 136 ; 4) De garantir l'accès exclusif aux documents électroniques, données de l'utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l'utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l'utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; 5) De donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d'origine, dans des conditions définies par décret. Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE. Ce service de coffre-fort numérique peut bénéficier d'une certification établie selon un cahier des charges proposé par l'autorité nationale de la sécurité des systèmes d'information après avis de la Commission nationale de l'informatique et des libertés et approuvé par arrêté du ministre chargé du numérique. Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l'Etat sont définies par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés.
service de communications électroniques [Directive CCEE 2018]
service de communications électroniques [Directive CCEE n°2018/1972 du 11 décembre 2018] : le service fourni normalement contre rémunération via des réseaux de communications électroniques qui, à l’exception des services consistant à fournir des contenus transmis à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus, comprend les types de services suivants : a) un «service d’accès à l’internet» défini à l’article 2, deuxième alinéa, point 2, du règlement (UE) 2015/2120 ; b) un service de communications interpersonnelles ; et c) des services consistant entièrement ou principalement en la transmission de signaux tels que les services de transmission utilisés pour la fourniture de services de machine à machine et pour la radiodiffusion.
service de communications interpersonnelles [Directive CCEE 2018]
service de communications interpersonnelles [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service normalement fourni contre rémunération qui permet l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, par lequel les personnes qui amorcent la communication ou y participent en déterminent le ou les destinataires et qui ne comprend pas les services qui rendent possible une communication interpersonnelle et interactive uniquement en tant que fonction mineure accessoire intrinsèquement liée à un autre service.
service de communications interpersonnelles fondé numérotation [Directive CCEE 2018]
service de communications interpersonnelles fondé sur la numérotation [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications interpersonnelles qui établit une connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation ou qui permet la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation.
service de communications interpersonnelles non fondé sur la numérotation [Directive CCEE 2018]
service de communications interpersonnelles non fondé sur la numérotation [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications interpersonnelles qui n’établit pas de connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation.
service de communications vocales [Directive CCEE 2018]
service de communications vocales [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications électroniques accessible au public permettant d’émettre et de recevoir, directement ou indirectement, des appels nationaux ou nationaux et internationaux, en composant un ou plusieurs numéros d’un plan national ou international de numérotation.
service de confiance [Règlement eIDAS du 23 juillet 2014]
service de confiance [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service électronique normalement fourni contre rémunération qui consiste : a) en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services ; ou b) en la création, en la vérification et en la validation de certificats pour l’authentification de site internet ; ou c) en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services.
service de confiance qualifié [Règlement eIDAS 2014]
service de confiance qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service de confiance qui satisfait aux exigences du présent règlement.
service de conseil aux souscripteurs d'actifs numériques [Décret PSAN 2019]
service de conseil aux souscripteurs d'actifs numérique [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de fournir des recommandations personnalisées à un tiers, soit à sa demande, soit à l'initiative du prestataire qui fournit le conseil, concernant un ou plusieurs actifs numériques.
service de conservation d'actifs numériques pour le compte de tiers [Décret PSAN 2019]
service de conservation d'actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de maîtriser, pour le compte d'un tiers, les moyens d'accès aux actifs numériques inscrits dans le dispositif d'enregistrement électronique partagé et de tenir un registre de positions, ouvert au nom du tiers, correspondants à ses droits sur lesdits actifs numériques.
service de conversation totale [Directive CCEE 2018]
service de conversation totale [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service multimédia de conversation en temps réel assurant la transmission symétrique et bidirectionnelle en temps réel de vidéos animées, de texte en temps réel et de voix entre des utilisateurs situés dans deux lieux différents ou plus.
service de gestion de portefeuille d'actifs numériques pour le compte de tiers [Décret PSAN 2019]
service de gestion de portefeuille d'actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de gérer, de façon discrétionnaire et individualisée, des portefeuilles incluant un ou plusieurs actifs numériques dans le cadre d'un mandat donné par un tiers.
service de placement garanti d'actifs numériques [Décret PSAN 2019]
service de placement garanti d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de rechercher des acquéreurs pour le compte d'un émetteur d'actifs numériques et de lui garantir un montant minimal d'achats en s'engageant à acquérir les actifs numériques non placés.
service de placement non garanti d'actifs numériques [Décret PSAN 2019]
service de placement non garanti d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de rechercher des acquéreurs pour le compte d'un émetteur d'actifs numériques sans lui garantir un montant d'acquisition.
service de prise ferme d'actifs numériques [Décret PSAN 2019]
service de prise ferme d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait d'acquérir directement des actifs numériques auprès d'un émetteur d'actifs numériques, en vue de procéder à leur vente.
service de réception et transmission d'ordres sur actifs numériques pour le compte de tiers [Décret PSAN 2019]
service de réception et transmission d'ordres sur actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de recevoir et de transmettre des ordres portant sur des actifs numériques pour le compte d'un tiers .
service numérique [Directive NIS 2016-1148 du 06 juillet 2016]
service numérique [Directive n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services.
service numérique [Directive UE n°2019/770 du 20 mai 2019]
service numérique [Directive UE n°2019/770 du 20 mai 2019] : a) un service permettant au consommateur de créer, de traiter ou de stocker des données sous forme numérique, ou d'y accéder ; ou b) un service permettant le partage ou toute autre interaction avec des données sous forme numérique qui sont téléversées ou créées par le consommateur ou d’autres utilisateurs de ce service.
service TIC [Règlement Cyber Security Act 2019]
service TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information.
services associés [Directive Paquet Télécom II 2009]
services associés [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : les services associés à un réseau de communications électroniques et/ou à un service de communications électroniques, qui permettent et/ou soutiennent la fourniture de services via ce réseau et/ou ce service ou en ont le potentiel, et comprennent notamment la conversion du numéro d’appel ou des systèmes offrant des fonctionnalités équivalentes, les systèmes d’accès conditionnel et les guides électroniques de programmes, ainsi que d’autres services tels que ceux relatifs à l’identité, l’emplacement et l’occupation.
services d'intermédiation en ligne [Règlement P2B 2019]
services d'intermédiation en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : a) ils constituent des services de la société de l’information au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (12) ; b) ils permettent aux entreprises utilisatrices d’offrir des biens ou services aux consommateurs, en vue de faciliter l’engagement de transactions directes entre ces entreprises utilisatrices et des consommateurs, que ces transactions soient ou non finalement conclues ; c) ils sont fournis aux entreprises utilisatrices sur la base de relations contractuelles entre le fournisseur de ces services et les entreprises utilisatrices qui offrent des biens ou services aux consommateurs.
services fournis par voie électronique [Règlement géo-blocage 2018]
services fournis par voie électronique [Règlement géo-blocage n°2018/302 du 28 février 2018] : les services fournis sur l'internet ou sur un réseau électronique et dont la nature rend la prestation largement automatisée, accompagnée d'une intervention humaine minimale, et impossible à assurer en l'absence de technologie de l'information.
services sur actifs numériques [article L. 54-10-2 du CMF]
services sur actifs numériques [article L. 54-10-2 du Code Monétaire et Financier] : Les services sur actifs numériques comprennent les services suivants : 1° Le service de conservation pour le compte de tiers d'actifs numériques ou d'accès à des actifs numériques, le cas échéant sous la forme de clés cryptographiques privées, en vue de détenir, stocker et transférer des actifs numériques ; 2° Le service d'achat ou de vente d'actifs numériques en monnaie ayant cours légal ; 3° Le service d'échange d'actifs numériques contre d'autres actifs numériques ; 4° L'exploitation d'une plateforme de négociation d'actifs numériques ; 5° Les services suivants : a) La réception et la transmission d'ordres sur actifs numériques pour le compte de tiers ; b) La gestion de portefeuille d'actifs numériques pour le compte de tiers ; c) Le conseil aux souscripteurs d'actifs numériques ; d) La prise ferme d'actifs numériques ; e) Le placement garanti d'actifs numériques ; f) Le placement non garanti d'actifs numériques. Un décret précise la définition des services mentionnés au présent article. { voir le décret n°2019-1213 du 21 novembre 2019 relatif aux prestataires de services sur actifs numériques}
signataire [Règlement eIDAS du 23 juillet 2014]
signataire [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une personne physique qui crée une signature électronique.
signature [ANSSI guide de sélection d'algorithme cryptographique]
Signature [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’opération privée de signature produit à partir d’un message M et de la clé privée P r une signature σ (sigma) de ce message. L’opération publique de vérification permet de déterminer si σ est bien une signature valide de M produite en utilisant la clé privée correspondante à une clé publique P u. Il n’est pas possible de produire une signature valide pour une clé publique P u sans connaître la clé privée correspondante P r. La signature électronique permet donc au détenteur d’une clé privée de générer des signatures vérifiables par toute personne ayant accès à sa clé publique. Comme dans le cas de l’authentification de message symétrique, ce mécanisme ne protège pas contre le rejeu de messages signés. Une signature peut être conservée avec le message signé pour prouver ultérieurement à un tiers son authenticité. De plus la signature est opposable au signataire, dans la mesure où il est le seul détenteur de la clé privée permettant de la produire : on parle de non-répudiation. Cette propriété n’est pas possible avec un mécanisme symétrique d’authentification de message, car il n’est pas possible dans ce cas de séparer la capacité de vérification du motif d’authentification de la capacité de produire de tels motifs.
signature / signature électronique [article 1367 Code civil]
signature / signature électronique [article 1367 du Code civil] : la signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat.
signature électronique [Règlement eIDAS 2014]
signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer.
signature électronique avancée [Règlement eIDAS 2014]
signature électronique avancée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une signature électronique qui satisfait aux exigences énoncées à l’article 26 [du Règlement UE 910/2014 eIDAS du 23 juillet 2014].
signature électronique qualifiée [Règlement eIDAS 2014]
signature électronique qualifiée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique.
SIIV ---> voir Système d'Information d'Importance Vitale
S.I.I.V. ---> voir Système d'Information d'Importance Vitale [article L.1332-6-1 du Code de la défense] : Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Ces opérateurs sont tenus d’appliquer ces règles à leurs frais. Les règles mentionnées au premier alinéa peuvent notamment prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d’information, par l’autorité nationale de sécurité des systèmes d’information ou par d’autres services de l’Etat désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre.
sonde [ANSSI référentiel PDIS v2 du 21 décembre 2017]
sonde ou système de détection [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde a pour but de générer des évènements de sécurité et est considérée comme une source de collecte dans le cadre du service de détection des incidents de sécurité.
sonde [ANSSI référentiel PRIS v2.0 du 2 aout 2017]
sonde [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde est considérée comme une source de collecte dans le cadre d’un service de détection des incidents de sécurité.
sous-boucle locale [Directive Paquet Télécom II 2009]
sous-boucle locale [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : une boucle locale partielle qui relie le point de terminaison du réseau dans les locaux de l’abonné à un point de concentration ou à un point d’accès intermédiaire spécifié du réseau de communications électroniques public fixe.
sous-traitant [Règlement RGPD du 27 avril 2016]
sous-traitant [Règlement RGPD n°2016/679 du 27 avril 2016] : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
spécification technique [Règlement Cyber Security Act 2019]
spécification technique [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un document qui établit les exigences techniques auxquelles un produit TIC, service TIC ou processus TIC doit répondre ou des procédures d’évaluation de la conformité afférentes à un produit TIC, service TIC ou processus TIC.
standard ouvert [Loi LCEN n°2004-575 du 21 juin 2004]
standard ouvert [Loi LCEN n°2004-575 du 21 juin 2004] : tout protocole de communication, d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en oeuvre.
stratégie nationale de sécurité des réseaux et des systèmes d'information [Règlement Cyber Security Act 2019]
stratégie nationale en matière de sécurité des réseaux et des systèmes d'information [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information au sens de l’article 4, point 3), de la directive (UE) 2016/1148.
stratégie nationale en matière de sécurité des réseaux et des systèmes d'information [Directive NIS 2016]
stratégie nationale en matière de sécurité des réseaux et des systèmes d'information [Directive n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : un cadre prévoyant des objectifs et priorités stratégiques en matière de sécurité des réseaux et des systèmes d'information au niveau national.
suivi opérationnel [ANSSI référentiel RGS v2 du 13 juin 2014]
suivi opérationnel [ANSSI référentiel RGS v2 du 13 juin 2014 (Référentiel Général de Sécurité)] : le suivi opérationnel consiste à collecter et à analyser les journaux d’évènements et les alarmes, à mener des audits réguliers, à appliquer des mesures correctives après un audit ou un incident, à mettre en œuvre une chaîne d’alerte en cas d’intrusion supposée ou avérée sur le système, à gérer les droits d’accès des utilisateurs, à assurer une veille sur les menaces et les vulnérabilités, à entretenir des plans de continuité et de reprise d’activité, à sensibiliser le personnel et à gérer les crises lorsqu’elles surviennent.
support durable [Directive UE n°2019/770 du 20 mai 2019]
support durable [Directive UE n°2019/770 du 20 mai 2019] : tout instrument permettant au consommateur ou au professionnel de stocker des informations qui lui sont adressées personnellement d’une manière permettant de s’y reporter ultérieurement, pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées.
support durable [Règlement P2B du 20 juin 2019]
support durable [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : tout instrument permettant aux entreprises utilisatrices de stocker des informations qui leur sont personnellement adressées d’une manière permettant de s’y reporter ultérieurement pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées.
système d'accès conditionnel [Directive CCEE 2018]
système d'accès conditionnel [Directive CCEE n°2018/1972 du 11 décembre 2018] : toute mesure technique, système d’authentification et/ou arrangement subordonnant l’accès sous une forme intelligible à un service protégé de radio ou de télévision à un abonnement ou à une autre forme d’autorisation individuelle préalable.
système d'information [Directive NIS du 6 juillet 2016]
système d'information [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
système d'information [NORME internationale ISO 27000:2018]
système d'information [NORME internationale ISO 27000:2018] : ensemble d'applications, services, actifs informationnels ou autres composants permettant de gérer l'information. ---> voir la définition de "système d'information" dans la Directive UE "NIS" n°2016/1148 du 6 juillet 2016 dont la rédaction prévaut sur celle de la norme ISO
système d'information [Règlement Mesures restrictives 2019]
système d'information [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : un dispositif isolé ou un ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ce dispositif ou cet ensemble de dispositifs en vue du fonctionnement, de l'utilisation, de la protection et de la maintenance de celui-ci.
système d'information [vulnérabilité [ANSSI référentiel PRIS v2]
système d'information [ANSSI Référentiel "PRIS" du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : ensemble organisé de ressources (matériel, logiciels, personnel, données et procédures) permettant de traiter et de diffuser de l’information.
système d'information administré [ANSSI référentiel PAMS v1]
système d'information administré [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : système d’information incluant les ressources administrées. [NDLR : cette définition est-elle bien utile ?]
Système d'Information d'Importance Vitale [L.1332-6-1 C. défense]
Système d'Information d'Importance Vitale [article L.1332-6-1 du Code de la défense] : Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Ces opérateurs sont tenus d'appliquer ces règles à leurs frais. Les règles mentionnées au premier alinéa peuvent notamment prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d'information, par l'autorité nationale de sécurité des systèmes d'information ou par d'autres services de l'Etat désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre.
système d'information d’administration [ANSSI référentiel PAMS v1]
système d'information d’administration [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : système d’information utilisé pour administrer des ressources qui sont présentes dans un autre système d’information dit système d’information administré.
système d'information et de communication de l'Etat [Décret n°2019-1088 du 25 octobre 2019]
système d'information et de communication de l'Etat [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Le système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle. Il est placé sous la responsabilité du Premier ministre, qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système. Sont exclus du champ d'application du présent titre les systèmes d'information et de communication visés au deuxième alinéa de l'article 1er du décret du 28 juin 2018 susvisé ainsi que ceux opérés par les services mentionnés à l'article D. 3126-2 du code de la défense et à l'article 1er du décret du 30 avril 2014 susvisé. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE
système d'information et de communication de la défense [Décret n°2018-532 du 28 juin 2018]
système d'information et de communication de la défense [Décret n°2018-532 du 28 juin 2018 fixant l'organisation du système d'information et de communication de la défense et portant création de la direction générale du numérique et des systèmes d'information et de communication] : Le système d'information et de communication de la défense est constitué de l'ensemble organisé des ressources permettant de collecter, traiter, transmettre et stocker les données sous format numérique qui concourent aux missions du ministère, à l'exception des ressources mises en œuvre par la direction générale de la sécurité extérieure. Il fait partie du système d'information et de communication de l'Etat, à l'exception des systèmes d'information et de communication mentionnés aux 1° et 2° de l'article 2 et des systèmes qui font intervenir, nécessitent ou comportent des supports ou information classifiés. Le système d'information et de communication de la défense est composé d'un ensemble de systèmes, classés selon leur objet et répartis comme suit : 1° Les systèmes d'information opérationnels et de communication ; 2° Les systèmes d'information scientifiques et techniques ; 3° Les systèmes d'information, d'administration et de gestion.
système de détection [ANSSI référentiel PDIS v2 décembre 2017]
système de détection ou sonde [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde a pour but de générer des évènements de sécurité et est considérée comme une source de collecte dans le cadre du service de détection des incidents de sécurité.
système de traitement automatisé de données [article 323-1 Code pénal]
système de traitement automatisé de données [article 323-1 du Code pénal] : pas de définition légale. Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende.
systèmes de communication et appels automatisés [PROJET Règlement e-Privacy v1]
systèmes de communication et d'appels automatisés [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les systèmes capables de passer des appels de manière automatique à un ou plusieurs destinataires conformément aux instructions établies pour ce système et de transmettre des sons ne consistant pas en une conversation de vive voix, notamment des appels effectués à l’aide de systèmes de communication et d'appel automatisés qui relient la personne appelée à une personne physique.
terminal [ANSSI Référentiel PVID du 1er mars 2021]
terminal [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : matériel informatique (téléphone portable, tablette, ordinateur, etc.) utilisé pour acquérir les données d’identification de l’utilisateur. Le terminal peut être celui de l’utilisateur, celui du prestataire ou celui du commanditaire. L’acquisition des données d’identification de l’utilisateur au travers du terminal peut être réalisée à l’aide de tous types d’applications : application mobile dédiée, navigateur, etc.
terminal [pas de définition légale] ---> voir équipement terminal
terminal [pas de définition légale] : ---> voir "équipement terminal" [article 1er, point 1) de la directive 2008/63/CE relative à la concurrence dans les marchés des équipements terminaux de télécommunications
test d'intrusion [Ex glossaire technique en ligne de l'ANSSI]
test d'intrusion [Ex glossaire technique de l'ANSSI] : action qui consiste à essayer plusieurs codes d’exploitation sur un système d’information, afin de déterminer ceux qui donnent des résultats positifs. Remarques : Il s’agit à la fois d’une intention défensive (mieux se protéger) et d’une action offensive (agresser son propre système d’information).
titre d’identité [ANSSI Référentiel PVID du 1er mars 2021]
titre d’identité [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : document officiel certifiant l’identité d’une personne. Sont acceptés dans le cadre du présent référentiel les titres d’identité référencés à l’Annexe 4 du présent référentiel.
titre financier et dispositif d'enregistrement électronique partagé [article L. 211-3 CMF]
titre financier et dispositif d'enregistrement électronique partagé [article L. 211-3 du Code Monétaire et Financier] : Les titres financiers, émis en territoire français et soumis à la législation française, sont inscrits soit dans un compte-titres tenu par l'émetteur ou par l'un des intermédiaires mentionnés aux 2° à 7° de l'article L. 542-1, soit, dans le cas prévu au second alinéa de l'article L. 211-7, dans un dispositif d'enregistrement électronique partagé. L'inscription dans un dispositif d'enregistrement électronique partagé tient lieu d'inscription en compte. Un décret en Conseil d'Etat fixe les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d'enregistrement électronique partagé mentionné ci-dessus, présentant des garanties, notamment en matière d'authentification, au moins équivalentes à celles présentées par une inscription en compte-titres. ---> voir décret n°2018-1226 du 24 décembre 2018 relatif à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers et pour l'émission et la cession de minibons
traceur [Délibération CNIL cookies traceurs n°2020-091 du 17 septembre 2020]
traceur [Délibération CNIL cookies traceurs n°2020-091 du 17 septembre 2020] : les cookies HTTP ... les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil).
traitement [Règlement RGPD du 27 avril 2016]
traitement [Règlement RGPD n°2016/679 du 27 avril 2016] : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
traitement transfrontalier [Règlement RGPD 2016]
traitement transfrontalier [Règlement RGPD 2016/679 du 27 avril 2016] : a) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ; ou b) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres.
usurpation d’identité [ANSSI Référentiel PVID 2021]
usurpation d’identité (sécurité des systèmes d'information) [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : action consistant à utiliser frauduleusement les données d’identification d’un tiers. Dans le cadre de ce référentiel, la notion d’usurpation d’identité englobe également l’altération de l’identité, consistant à utiliser des données d’identification frauduleuses qui n’appartiennent pas à une personne existante.
utilisateur [Directive UE CCEE du 11 décembre 2018]
utilisateur [Directive UE CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : une personne physique ou morale qui utilise ou demande un service de communications électroniques accessible au public.
utilisateur de site internet d'entreprise [Règlement P2B 2019]
utilisateur de site internet d'entreprise [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toute personne physique ou morale qui utilise une interface en ligne, c’est-à-dire tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles, pour offrir des biens ou services aux consommateurs à des fins liées à son activité commerciale, industrielle, artisanale ou libérale.
utilisateur final [Directive CCEE du 11 décembre 2018]
utilisateur final [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : un utilisateur qui ne fournit pas de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public.
utilisation partagée du spectre radioélectrique [Directive CCEE 2018]
utilisation partagée du spectre radioélectrique [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’accès par deux utilisateurs ou plus, en vue de leur utilisation, aux mêmes bandes du spectre radioélectrique dans le cadre d’un dispositif de partage défini, autorisé sur le fondement d’une autorisation générale, de droits d’utilisation individuels du spectre radioélectrique ou d’une combinaison de ceux-ci, y compris des mécanismes de régulation tels que l’accès partagé sous licence destiné à faciliter l’utilisation partagée d’une bande du spectre radioélectrique, sous réserve d’un accord contraignant entre toutes les parties concernées, conformément aux règles de partage incluses dans leurs droits d’utilisation du spectre radioélectrique, afin de garantir à tous les utilisateurs des dispositifs de partage prévisibles et fiables, et sans préjudice de l’application du droit de la concurrence.
valeur mobilière (DEEP) [article L. 228-1 du Code de commerce]
valeur mobilière et dispositif d'enregistrement électronique partagé [article L. 228-1 du Code de commerce]: Les sociétés par actions émettent toutes valeurs mobilières dans les conditions du présent livre. Les valeurs mobilières sont des titres financiers au sens de l'article L. 211-1 du code monétaire et financier, qui confèrent des droits identiques par catégorie. Les valeurs mobilières émises par les sociétés par actions revêtent la forme de titres au porteur ou de titres nominatifs, sauf pour les sociétés pour lesquelles la loi ou les statuts imposent la seule forme nominative, pour tout ou partie du capital. Nonobstant toute convention contraire, tout propriétaire dont les titres font partie d'une émission comprenant à la fois des titres au porteur et des titres nominatifs a la faculté de convertir ses titres dans l'autre forme. Toutefois, la conversion des titres nominatifs n'est pas possible s'agissant des sociétés pour lesquelles la loi ou les statuts imposent la forme nominative pour tout ou partie du capital. Ces valeurs mobilières, quelle que soit leur forme, doivent être inscrites en compte ou dans un dispositif d'enregistrement électronique partagé au nom de leur propriétaire, dans les conditions prévues aux articles L. 211-3 et L. 211-4 du code monétaire et financier. Toutefois, lorsque des titres de capital ou des obligations de la société ont été admis aux négociations sur un ou plusieurs marchés réglementés ou systèmes multilatéraux de négociation agréés en France ou dans un autre Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen, ou sur un marché considéré comme équivalent à un marché réglementé par la Commission européenne en application du a du 4 de l'article 25 de la directive 2014/65/ UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d'instruments financiers et modifiant la directive 2002/92/ CE et la directive 2011/61/ UE, et que leur propriétaire n'a pas son domicile sur le territoire français au sens de l'article 102 du code civil, tout intermédiaire peut être inscrit pour le compte de ce propriétaire. Lorsque des titres de capital ou des obligations de la société ont été admis aux négociations uniquement sur un ou plusieurs marchés considérés comme équivalent à un marché réglementé par la Commission européenne en application du a du 4 de l'article 25 de la directive 2014/65/ UE du Parlement européen et du Conseil du 15 mai 2014 précitée, cette inscription peut être faite pour le compte de tout propriétaire. L'inscription de l'intermédiaire peut être faite sous la forme d'un compte collectif ou en plusieurs comptes individuels correspondant chacun à un propriétaire. L'intermédiaire inscrit est tenu, au moment de l'ouverture de son compte auprès soit de la société émettrice, soit de l'intermédiaire mentionné à l'article L. 211-3 du code monétaire et financier qui tient le compte-titres, de déclarer, dans les conditions fixées par décret, sa qualité d'intermédiaire détenant des titres pour le compte d'autrui. En cas de cession de valeurs mobilières admises aux opérations d'un dépositaire central ou livrées dans un système de règlement et de livraison mentionné à l'article L. 330-1 du code monétaire et financier, le transfert de propriété s'effectue dans les conditions prévues à l'article L. 211-17 de ce code. Dans les autres cas, le transfert de propriété résulte de l'inscription des valeurs mobilières au compte de l'acheteur ou dans un dispositif d'enregistrement électronique partagé, dans des conditions fixées par décret en Conseil d'Etat.
valeurs aléatoires [ANSSI guide de sélection d'algorithmes cryptographiques]
Valeurs aléatoires [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : la mise en œuvre de mécanismes cryptographiques peut nécessiter l’utilisation de valeurs générées aléatoirement. Ces valeurs ne sont pas nécessairement destinées à rester secrètes, mais elles doivent avoir la distribution de probabilité attendue, et elles doivent aussi être tirées avec un bon générateur aléatoire ; il s’agit par exemple des vecteurs d’initialisation (Initialization Vectors ou IV) nécessaires à certains mécanismes de chiffrement symétrique probabilistes. De telles valeurs ne doivent jamais être utilisées plusieurs fois sous peine d’effondrement potentiel de la sécurité du mécanisme qui les emploie (les longueurs des IV employés en cryptographie – normalement au moins 128 bits – garantissent que la probabilité de répétition « par hasard » est négligeable).
valeurs uniques [ANSSI guide de sélection d'algorithmes cryptographiques]
Valeurs uniques (dites nonces) [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : La mise en œuvre de mécanismes cryptographiques peut nécessiter l’utilisation de valeurs non aléatoires, mais avec une garantie de non-réutilisation. La violation de cette propriété d’unicité peut avoir des conséquences dramatiques sur la sécurité du mécanisme qui les emploie, comme dans le cas des IV des algorithmes de chiffrement par flot. Dans certains contextes, un compteur incrémenté à chaque utilisation peut être utilisé comme nonce s’il est de taille suffisante pour éviter le dépassement de sa capacité.
validation [Règlement eIDAS du 23 juillet 2014]
validation [Règlement eIDAS n°910/2014 du 23 juillet 2014] : le processus de vérification et de confirmation de la validité d’une signature ou d’un cachet électronique.
veille sur les menaces et les vulnérabilités [ANSSI référentiel RGS v2]
veille sur les menaces et les vulnérabilité [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : Se tenir informé sur l’évolution des menaces et des vulnérabilités, en identifiant les incidents qu’elles favorisent ainsi que leurs impacts potentiels, constitue une mesure fondamentale de défense. Les sites institutionnels, comme celui du CERT-FR (www.cert.ssi.gouv.fr), ou ceux des éditeurs de logiciels et de matériels constituent des sources d’information essentielles sur les vulnérabilités identifiées, ainsi que sur les contre-mesures et les correctifs éventuels. Les mises à jour des logiciels et d’autres équipements, les correctifs des systèmes d’exploitation et des applications font l’objet d’alertes et d’avis qu’il est indispensable de suivre.
ver / worm [Ex glossaire technique en ligne de l'ANSSI]
ver [Ex glossaire technique de l'ANSSI] : un ver (ou worm) est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.
violation de données [Règlement RGPD]
violation de données [à caractère personnel] [article 4 Règlement RGPD n°2016/679 du 27 avril 2016] : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. ---> NDLR : l'article 32.2 RGPD reprend la même définition : "Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite".
virus [Ex glossaire technique en ligne de l'ANSSI]
virus [Ex glossaire technique de l'ANSSI] : un virus est un programme ou morceau de programme malveillant dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, etc.) et, bien souvent, d’en atteindre ou d’en parasiter les ressources (données, mémoire, réseau). Le mode de survie peut prendre plusieurs formes : réplication, implantation au sein de programmes légitimes, persistance en mémoire, etc. Pour sa propagation, un virus utilise tous les moyens disponibles : messagerie, partage de fichiers, portes dérobées, page internet frauduleuse, clés USB…
vulnérabilité [ANSSI référentiel PRIS v2 du 2 août 2017]
vulnérabilité [ANSSI Référentiel PRIS v2 du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : faiblesse d’un bien ou d’une mesure pouvant être exploitée par une menace ou un groupe de menaces. ---> à rapprocher de la définition de "vulnérabilité" [PROJET de Directive NIS2 du 16 décembre 2020 (Network Information Security)] : une faiblesse, une susceptibilité ou la faille d’un bien, d’un système, d’un processus ou d’un contrôle qui peut être exploitée par une cybermenace.
vulnérabilité [Ex glossaire technique en ligne de l'ANSSI]
vulnérabilité [Ex glossaire technique de l'ANSSI] : Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser. Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système.
vulnérabilité [NORME internationale ISO 27000:2018]
vulnérabilité [NORME internationale ISO 27000:2018] : faille dans un actif ou dans une mesure de sécurité qui peut être exploitée par une ou plusieurs menaces.
vulnérabilité [proposition de clause contractuelle v03-2022]
vulnérabilité [proposition de clause contractuelle v03-2022] : désigne une menace de Compromission pour un service TIC (comme le Service) et/ou un processus TIC ou un produit TIC (comme le Logiciel) ou de manière générale, le Système d'Information d'une partie provenant "de ses spécifications, de sa conception, de sa réalisation, de son installation, de sa configuration ou de son utilisation" (glossaire de l'ANSSI) (vulnérabilité mathématique, protocolaire ou d'implémentation d'un algorithme ou d'un programme d'ordinateur). D'un commun accord des parties, la criticité des Vulnérabilités est appréciée selon la méthode N.I.S.T CVSS (Common Vulnerability Scoring System) version 3.x.
worm / ver [Ex glossaire technique en ligne de l'ANSSI]
worm / ver [Ex glossaire technique de l'ANSSI] : un ver (ou worm) est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.
x [pas de définition légale commençant par la lettre "X"]
X [pas de définition légale commençant par la lettre "X"] : NDLR : nous cherchons avec assiduité. Résultat actuel : nul.
Y [pas de définition légale commençant par la lettre "Y"]
Y [pas de définition légale commençant par la lettre "Y"] : Dès qu'on en trouve une, on vous la proposera. Promis.
zone de confiance [ANSSI référentiel PAMS v1]
zone de confiance (informatique en nuage) [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : ensemble des ressources informatiques regroupées en fonction de l’homogénéité de facteurs divers, liés ou non à la sécurité (ex : exposition aux menaces, vulnérabilités résiduelles technologiques intrinsèques, localisation géographique, etc.).
réseau et système d’information [Directive NISv2 - 14 décembre 2022]
réseau et système d'information [Directive UE "NISv2" - 2022/2555 -14 décembre 2022] : a) un réseau de communications électroniques au sens de l’article2, point 1),de la directive(UE)2018/1972 ; b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques ; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance.
sécurité des réseaux et des systèmes d’information [Directive NISv2 - 14 décembre 2022]
sécurité des réseaux et des systèmes d’information [Directive NISv2 - 2022/2555 - 14 décembre 2022] : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles.
stratégie nationale en matière de cybersécurité [Directive NISv2 - 14 décembre 2022]
stratégie nationale en matière de cybersécurité [Directive NISv2 - 2022/2555- 14 décembre 2022] : le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre.
incident évité [Directive NISv2 - 14 décembre 2022]
incident évité [Directive NISv2 - 2022/2555 - 14 décembre 2022] : un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, mais dont la réalisation a pu être empêchée ou ne s’est pas produite.
incident [Directive NISv2 - 14 décembre 2022]
incident [Directive NISv2 - 2022/2555- 14 décembre 2022] : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles.
incident de cybersécurité majeur [Directive NISv2 - 14 décembre 2022]
incident de cybersécurité majeur [Directive NISv2 - 2022/2555 -14 décembre 2022] : : un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres.
traitements des incidents [Directive NISv2 - 14 décembre 2022]
traitements des incidents [Directive NISv2 - 2022/2555 -14 décembre 2022] : toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier.
risque [Directive NISv2 - 14 décembre 2022]
risque [Directive NISv2 - 2022/2555 - 14 décembre 2022] : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise.
cyber menace importante [Directive NISv2 - 14 décembre 2022]
cyber menace importante [Directive NISv2 - 2022/2555 - 14 décembre 2022] : une cyber menace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable.
vulnérabilité [Directive NISv2 - 14 décembre 2022]
vulnérabilité [Directive NISv2 - 2022/2555 - 14 décembre 2022] : une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cyber menace.
point d'échange internet [Directive NISv2 - 14 décembre 2022]
point d'échange internet [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une structure de réseau qui permet l’ interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet, qui n’assure l’interconnexion que pour des systèmes autonomes et qui n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic.
système de noms de domaine [Directive NISv2 - 14 décembre 2022]
système de noms de domaine ou DNS [[Directive NISv2 n°2022/2555 du 14 décembre 2022] : un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources.
fournisseur de services DNS [Directive NISv2 - 14 décembre 2022]
fournisseur de services DNS [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une entité qui fournit: a) des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet ; ou b) des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines ;
registre de noms de domaine de premier niveau [Directive NISv2 - 14 décembre 2022]
registre de noms de domaine de premier niveau [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;
entité fournissant des services d’enregistrement de noms de domaine [Directive NISv2 - 14 décembre 2022]
entité fournissant des services d’enregistrement de noms de domain [Directive NISv2 n°2022/2555 du 14 décembre 2022] : un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire.
service d'informatique en nuage [Directive NISv2 - 14 décembre 2022]
service d'informatique en nuage [Directive NISv2 n°2022/2555 du 14 décembre 2022E] : un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits.
service de centre de donnée [Directive NISv2 - 14 décembre 2022]
service de centre de donnée [Directive NISv2 n°2022/2555 du 14 décembre 2022] : un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental.
réseau de diffusion de contenu [Directive NISv2 - 14 décembre 2022]
réseau de diffusion de contenu [Directive NISv2 n°2022/2555 du 14 décembre 2022] : un réseau de serveurs géographiquement répartis visant à assurer la haute disponibilité, l’accessibilité ou la fourniture rapide de contenu et de services numériques aux utilisateurs d’internet pour le compte de fournisseurs de contenu et de services.
plateforme de services de réseaux sociaux [Directive NISv2 - 14 décembre 2022]
plateforme de services de réseaux sociaux [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations.
représentant [Directive NISv2 - 14 décembre 2022]
représentant [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une personne physique ou morale établie dans l’ Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente directive.
fournisseur de services gérés [Directive NISv2 - 14 décembre 2022]
fournisseur de services gérés [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance.
fournisseur de services de sécurité gérés [Directive NISv2 - 14 décembre 2022]
fournisseur de services de sécurité gérés Directive NISv2 n°2022/2555 du 14 décembre 2022] : un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;
organisme de recherche [Directive NISv2 - 14 décembre 2022]
organisme de recherche [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une entité dont l’objectif premier est de mener des activités de recherche appliquée ou de développement expérimental en vue d’exploiter les résultats de cette recherche à des fins commerciales, à l’exclusion des établissements d’enseignement.
résilience opérationnelle numérique [Règlement DORA - 14 décembre 2022]
résilience opérationnelle numérique [Règlement DORA n°2022/2554 du 14 décembre 2022] : la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations.
système de TIC hérité [Règlement DORA - 14 décembre 2022]
système de TIC hérité [Règlement DORA n°2022/2554 du 14 décembre 2022] : un système de TIC qui a atteint la fin de son cycle de vie (fin de vie), qui ne se prête pas à des mises à jour ou des corrections, pour des raisons technologiques ou commerciales, ou qui n’est plus pris en charge par son fournisseur ou par un prestataire tiers de services TIC, mais qui est toujours utilisé et soutient les fonctions de l’entité financière.
risque lié aux TIC [Règlement DORA - 14 décembre 2022]
risque lié aux TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique.
actif d'information [Règlement DORA - 14 décembre 2022]
actif d'information [Règlement DORA n°2022/2554 du 14 décembre 2022] : un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection.
actif de TIC [Règlement DORA - 14 décembre 2022]
actif de TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière.
incident lié aux TIC [Règlement DORA - 14 décembre 2022]
incident lié aux TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière.
incident opérationnel ou de sécurité lié au paiement [Règlement DORA - 14 décembre 2022]
incident opérationnel ou de sécurité lié au paiement [Règlement DORA n°2022/2554 du 14 décembre 2022] : un événement ou une série d’événements liés entre eux que les entités financières visées à l’article 2, paragraphe 1, points a) à d), n’ont pas prévu, lié ou non aux TIC, qui a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données liées au paiement ou sur les services liés au paiement fournis par l’entité financière.
incident majeur lié aux TIC [Règlement DORA - 14 décembre 2022]
incident majeur lié aux TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière.
incident opérationnel ou de sécurité majeur lié au paiement [Règlement DORA - 14 décembre 2022]
incident opérationnel ou de sécurité majeur lié au paiement [[Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident opérationnel ou de sécurité lié au paiement qui a une incidence négative élevée sur les services fournis liés au paiement.
cybermenace importante [Règlement DORA - 14 décembre 2022]
cybermenace importante [Règlement DORA n°2022/2554 du 14 décembre 2022] : une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement.
cyberattaque [Règlement DORA - 14 décembre 2022]
cyberattaque [Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace.
renseignements sur les menaces [Règlement DORA - 14 décembre 2022]
renseignements sur les menaces [Règlement DORA n°2022/2554 du 14 décembre 2022] : les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations.
vulnérabilité [Règlement DORA - 14 décembre 2022]
vulnérabilité [Règlement DORA n°2022/2554 du 14 décembre 2022] : une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peuvent être exploités.
tests de pénétration fondés sur la menace [Règlement DORA - 14 décembre 2022]
tests de pénétration fondés sur la menace [Règlement DORA n°2022/2554 du 14 décembre 2022] : un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière.
risque lié aux prestataires tiers de services TIC [Règlement DORA - 14 décembre 2022]
risque lié aux prestataires tiers de services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation.
prestataire tiers de services TIC [Règlement DORA - 14 décembre 2022]
prestataire tiers de services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fournit des services TIC.
prestataire de services TIC intra-groupe [Règlement DORA - 14 décembre 2022]
prestataire de services TIC intra-groupe [Règlement DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité.
services TIC [Règlement DORA - 14 décembre 2022]
services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels.
fonction critique ou importante [Règlement DORA - 14 décembre 2022]
fonction critique ou importante [Règlement DORA n°2022/2554 du 14 décembre 2022] : une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers.
prestataire tiers critique de services TIC [Règlement DORA - 14 décembre 2022]
prestataire tiers critique de services TIC [Règlement DORA n° 2022/2554 du 14 décembre 2022] : un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31.
prestataire tiers de services TIC établi dans un pays tiers [Règlement DORA - 14 décembre 2022]
prestataire tiers de services TIC établi dans un pays tiers [Règlement DORA n°2022/2554 du 14 décembre 2022] : un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC.
risque informatique [Directive DORA - 14 décembre 2022]
risque informatique [Directive DORA n°2022/2554 du 14 décembre 2022] : toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information,– y compris un dysfonctionnement, un dépassement de capacité, une défaillance, une perturbation, une altération, une mauvaise utilisation, une perte ou tout autre type d’événement, malveillant ou non – qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et de l’exécution des processus ou de la fourniture de services, compromettant ainsi l’intégrité ou la disponibilité des données, des logiciels ou de tout autre composante des services et infrastructures informatiques, ou entraînant une violation de la confidentialité, un dommage à l’infrastructure informatique physique ou d’autres effets préjudiciables.
incident lié à l’informatique [Directive DORA - 14 décembre 2022]
incident lié à l’informatique [Directive DORA n°2022/2554 du 14 décembre 2022] : un événement imprévu détecté dans les réseaux et les systèmes d’information, qu’il résulte ou non d’une activité malveillante, qui compromet la sécurité des réseaux et des systèmes d’information, des informations que ces systèmes traitent, stockent ou transmettent, ou qui a des effets préjudiciables sur la disponibilité, la confidentialité, la continuité ou l’authenticité des services financiers fournis par l’entité financière.
défense en profondeur [Directive DORA - 14 décembre 2022]
défense en profondeur [Directive DORA n°2022/2554 du 14 décembre 2022] : une stratégie liée à l’informatique intégrant des personnes, des processus et des technologies afin d’établir des barrières diverses à travers les multiples couches et dimensions de l’entité.
tiers prestataire de services informatiques [Directive DORA - 14 décembre 2022]
tiers prestataire de services informatiques [Directive DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fournit des services numériques et de données, y compris les fournisseurs de services d’informatique en nuage, de logiciels, de services d’analyse de données, de centres de données, mais à l’exclusion des fournisseurs de composants matériels et des entreprises agréées en vertu du droit de l’Union qui fournissent des services de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972 du Parlement européen et du Conseil.
services informatiques [Directive DORA - 14 décembre 2022]
services informatiques [Directive DORA n°2022/2554 du 14 décembre 2022] : les services numériques et de données fournis par l’intermédiaire des systèmes informatiques à un ou plusieurs utilisateurs internes ou externes, dont la fourniture de données, la saisie de données, le stockage de données, le traitement des données et les services de notification, le suivi des données ainsi que les services de soutien opérationnel et décisionnel fondés sur les données.
tiers prestataire critique de services informatiques [Directive DORA - 14 décembre 2022]
tiers prestataire critique de services informatiques [Directive DORA n°2022/2554 du 14 décembre 2022] : un tiers prestataire de services informatiques désigné conformément à l’article 29 et soumis au cadre de supervision visé aux articles 30 à 37.
tiers prestataire de services informatiques établi dans un pays tiers [Directive DORA - 14 décembre 2022]
tiers prestataire de services informatiques établi dans un pays tiers [Directive DORA n°2022/2554 du 14 décembre 2022] : un tiers prestataire de services informatiques qui est une personne morale établie dans un pays tiers, qui n’a pas établi d’activité ou de présence dans l’Union et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services informatiques.
sous-traitant informatique établi dans un pays tiers [Directive DORA - 14 décembre 2022]
sous-traitant informatique établi dans un pays tiers [Directive DORA n°2022/2554 du 14 décembre 2022] : un sous-traitant informatique qui est une personne morale établie dans un pays tiers, qui n’a pas établi d’activité ou de présence dans l’Union et qui a conclu un accord contractuel soit avec un tiers prestataire de services informatiques, soit avec un tiers prestataire de services informatiques établi dans un pays tiers.
risque de concentration informatique [Directive DORA - 14 décembre 2022]
risque de concentration informatique [Directive DORA n°2022/2554 du 14 décembre 2022] : une exposition à des tiers prestataires critiques de services informatiques individuels ou multiples et liés, créant un degré de dépendance à l’égard de ces prestataires, de sorte que l’indisponibilité, la défaillance ou tout autre type d’insuffisance de ces derniers peut potentiellement mettre en péril la capacité d’une entité financière, et en fin de compte du système financier de l’Union dans son ensemble, à assurer des fonctions critiques, ou à faire face à d’autres types d’effets préjudiciables, y compris des pertes importantes.
entité critique [Directive Entités critiques - 14 décembre 2022]
entité critique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe.
résilience [Directive Entités critiques - 14 décembre 2022]
résilience [Directive Entités critiques n° 2022/2557 du 14 décembre 2022] : la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir.
incident [Directive Entités critiques - 14 décembre 2022]
incident [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit.
infrastructure critique [Directive Entités critiques - 14 décembre 2022]
infrastructure critique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel.
service essentiel [Directive Entités critiques - 14 décembre 2022]
service essentiel [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement.
risque [Directive Entités critiques - 14 décembre 2022]
risque [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise.
évaluation des risques [Directive Entités critiques - 14 décembre 2022]
évaluation des risques [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident.
entité de l’administration publique [Directive Entités critiques - 14 décembre 2022]
entité de l’administration publique» [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une entité reconnue comme telle dans un État membre conformément au droit national, à l’exclusion de l’organisation judiciaire, des parlements et des banques centrales, qui satisfait aux critères suivants: a) elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial; b) elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique; c) elleestfinancéemajoritairementparlesautoritésdel’Étatoud’autresorganismesdedroitpublicdeniveaucentral, ou sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé, pour plus de la moitié, de membres désignés par les autorités de l’État ou d’autres organismes de droit public de niveau central; d) elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux.
norme [Directive Entités critiques - 14 décembre 2022]
norme [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil.
spécification technique [Directive Entités critiques - 14 décembre 2022]
spécification technique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012.
actions d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
actions d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : Ensemble des actions d’installation, de suppression, de modification et de consultation de la configuration d’un système participant au système d’information du service et susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.
audit [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
audit [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les exigences d’un référentiel sont satisfaites.
bien [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
bien [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : tout élément représentant de la valeur pour le service à qualifier.
changement majeur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
changement majeur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : toute action planifiée par le prestataire et susceptible, par sa nature ou sa portée, de compromettre la sécurité du service (exemple : modification de l’organisation, modification d’une procédure, ajout, modification ou suppression d’un composant de l’infrastructure technique).
cloud computing [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
cloud computing (informatique en nuage) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.
commanditaire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
commanditaire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : entité faisant appel à un prestataire de services d’informatique en nuage.
conteneur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
conteneur (container) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : instance d’exécution en espace utilisateur, isolée des autres instances par des mécanismes d’abstraction fournis par le noyau d’un système d’exploitation.
état de l'art [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
état de l'art [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine réglementaire.
hébergement externe partagé [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
hébergement externe partagé [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : modèle permettant un accès aisé et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.
incident lié à la sécurité de l’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
incident lié à la sécurité de l’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : un ou plusieurs événement(s) liés à la sécurité de l’information, indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme ou de menacer la sécurité de l’information.
infrastructure technique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
infrastructure technique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des composants matériels et logiciels nécessaires à la fourniture d’un service d’informatique en nuage (IaaS, CaaS, PaaS, SaaS, etc.).
interface d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
interface d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : interface logicielle permettant à une entité disposant des privilèges requis (un administrateur, un compte de service, un développeur « DevOps », etc.) de réaliser des actions d’administration d’un système d’information.
intergiciel [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
intergiciel (middleware) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : logiciel qui se trouve entre un système d’exploitation et les applications qui s’exécutent sur celui-ci, afin de faciliter les interactions entre elles.
menace [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
menace [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : cause potentielle d’un incident indésirable pouvant nuire à un système ou à un organisme.
mesure de sécurité [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
mot défini [PROJET - REF - DATE] : mesure qui modifie la vraisemblance ou la gravité d’un risque. Elle comprend la politique, les procédures, les lignes directrices, et les pratiques ou structures organisationnelles, et peut être de nature administrative, technique, managériale ou juridique.
politique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
politique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : intentions et orientations d’un organisme telles que formalisées par sa direction.
prestataire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
prestataire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : organisme proposant un service d’informatique en nuage et visant la qualification.
prestataire d'audit de la sécurité des systèmes d'information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
prestataire d'audit de la sécurité des systèmes d'information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : organisme réalisant des prestations d’audit de la sécurité des systèmes d’information. Il est dit qualifié si un organisme de qualification a attesté de sa conformité au Référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information.
ressources virtualisées [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
ressources virtualisées [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : abstraction des ressources matérielles d’un système (CPU, RAM, etc.) qui sont mises à disposition par l’infrastructure technique.
risque [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
risque [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : effet de l’incertitude sur l’atteinte des objectifs. Il est exprimé en termes de combinaison des conséquences d’un événement et de sa vraisemblance.
sécurité d'un système d’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
sécurité d'un système d’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des moyens techniques et non-techniques de protection permettant à un système d’information d’assurer la disponibilité, l’intégrité et la confidentialité des données, traitées ou transmises, et des services connexes que ces systèmes offrent ou rendent accessibles.
supervision [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
supervision [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : surveillance du bon fonctionnement d’un système d’information ou d’un service. Elle concerne la collecte de données (mesures, alarmes, etc.) mais elle ne permet pas d’agir sur l’élément surveillé (ce qui relève des tâches d’administration).
support [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
support (technique) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des actions de diagnostic ayant pour finalité la résolution des problèmes rencontrés par les commanditaires. Par défaut, aucun accès aux données des commanditaires n’est autorisé dans le cadre de ces tâches. Si la résolution du problème nécessite une action de la part du prestataire, cette dernière relève dès lors de l’administration et doit être effectuée dans les conditions idoines.
système d’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
système d’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble organisé de ressources (matériels, logiciels, personnels, données et procédures) permettant de traiter et de diffuser de l’information.
vulnérabilité [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
vulnérabilité [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : faiblesse d’un bien ou d’une mesure pouvant être exploitée par une menace ou un groupe de menaces.
administrateur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
administrateur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : utilisateur disposant de droits privilégiés lui permettant de réaliser les tâches d’administration qui lui sont attribuées.
administrateur d'infrastructure [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
administrateur d'infrastructure [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : administrateur en charge de la gestion et du maintien en conditions opérationnelles et en condition de sécurité de l’infrastructure technique du service.
utilisateur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
utilisateur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : Toute personne disposant d’un compte dans le périmètre du service. Ce terme générique englobe les utilisateurs finaux et les administrateurs.
utilisateur final [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
utilisateur final [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : personne jouissant in fine du service mis en œuvre. Il peut s’agir du personnel du commanditaire dans le cas d’un service interne, ou de ses propres commanditaires dans le cas d’un service proposé à l’extérieur.
service de la société de l’information [Règlement UE 2022/2065 « DSA » du 19 octobre 2022 ] :
service de la société de l’information [Règlement UE 2022/2065 « DSA » du 19 octobre 2022 ] : un service tel qu’il est défini à l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 (tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services) ;
destinataire du service [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
destinataire du service [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute personne physique ou morale utilisant un service intermédiaire, notamment pour rechercher une information ou la rendre accessible.
consommateur [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
consommateur [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute personne physique agissant à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale.
proposer des services dans l'Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
proposer des services dans l'Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : permettre aux personnes physiques ou morales dans un ou plusieurs États membres d’utiliser les services d’un fournisseur de services intermédiaires qui a un lien étroit avec l’Union.
lien étroit avec l’Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
lien étroit avec l’Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un lien qu’un fournisseur de services intermédiaires a avec l’Union résultant soit de son établissement dans l’Union, soit de critères factuels spécifiques, tels que : — un nombre significatif de destinataires du service dans un ou plusieurs États membres par rapport à sa ou à leur population; ou — le ciblage des activités sur un ou plusieurs États membres;
professionnel [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
professionnel [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute personne physique, ou toute personne morale qu’elle soit privée ou publique, qui agit, y compris par l’intermédiaire d’une personne agissant en son nom ou pour son compte, à des fins entrant dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;
service intermédiaire [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
service intermédiaire [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un des services de la société de l’information suivants : i) un service de “simple transport”, consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service ou à fournir l’accès à un réseau de communication; ii) un service de “mise en cache”, consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, impliquant le stockage automatique, intermédiaire et temporaire de ces informations, effectué dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires à leur demande; iii) un service d’”hébergement”, consistant à stocker des informations fournies par un destinataire du service à sa demande;
contenu illicite [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
contenu illicite [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit ;
plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un service d’hébergement qui, à la demande d’un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d’un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l’intégration de cette caractéristique ou de cette fonctionnalité à l’autre service ne soit pas un moyen de contourner l’applicabilité du présent règlement ;
moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un service intermédiaire qui permet aux utilisateurs de formuler des requêtes afin d’effectuer des recherches sur, en principe, tous les sites internet ou tous les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot-clé, d’une demande vocale, d’une expression ou d’une autre entrée, et qui renvoie des résultats dans quelque format que ce soit dans lesquels il est possible de trouver des informations en rapport avec le contenu demandé.
diffusion au public [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
diffusion au public [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le fait de mettre des informations à la disposition d’un nombre potentiellement illimité de tiers, à la demande du destinataire du service ayant fourni ces informations.
contrat à distance [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
contrat à distance [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le “contrat à distance” tel qu’il est défini à l’article 2, point 7), de la directive 2011/83/UE (tout contrat conclu entre le profes­ sionnel et le consommateur, dans le cadre d’un système organisé de vente ou de prestation de service à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu’au moment, et y compris au moment, où le contrat est conclu) .
interface en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
interface en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles.
coordinateur pour les services numériques de l’État membre d’établissement [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
coordinateur pour les services numériques de l’État membre d’établissement [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le coordinateur pour les services numériques de l’État membre dans lequel l’établissement principal d’un fournisseur d’un service intermédiaire est situé, ou dans lequel son représentant légal réside ou est établi.
coordinateur pour les services numériques de l’État membre de destination [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
coordinateur pour les services numériques de l’État membre de destination [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le coordinateur pour les services numériques d’un État membre dans lequel le service intermédiaire est fourni.
destinataire actif d’une plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
destinataire actif d’une plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un destinataire du service qui a été en contact avec une plateforme en ligne, soit en demandant à la plateforme en ligne d’héberger des informations, soit en étant exposé aux informations hébergées par la plateforme en ligne et diffusées via son interface en ligne.
destinataire actif d’un moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
destinataire actif d’un moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un destinataire du service qui a soumis une requête à un moteur de recherche en ligne et a été exposé aux informations indexées et présentées sur son interface en ligne.
publicité [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
publicité [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les informations destinées à promouvoir le message d’une personne physique ou morale, qu’elles aient des visées commerciales ou non commerciales, et présentées par une plateforme en ligne sur son interface en ligne, moyennant rémunération, dans le but spécifique de promouvoir ces informations.
système de recommandation [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
système de recommandation [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un système entièrement ou partiellement automatisé utilisé par une plateforme en ligne pour suggérer sur son interface en ligne des informations spécifiques aux destinataires du service ou pour hiérarchiser ces informations, notamment à la suite d’une recherche lancée par le destinataire du service ou en déterminant de toute autre manière l’ordre relatif ou d’importance des informations affichées;
modération des contenus [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
modération des contenus [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les activités, qu’elles soient automatisées ou non, entreprises par des fournisseurs de services intermédiaires qui sont destinées, en particulier, à détecter et à identifier les contenus illicites ou les informations incompatibles avec leurs conditions générales, fournis par les destinataires du service, et à lutter contre ces contenus ou ces informations, y compris les mesures prises qui ont une incidence sur la disponibilité, la visibilité et l’accessibilité de ces contenus ou ces informations, telles que leur rétrogradation, leur démonétisation, le fait de rendre l’accès à ceux-ci impossible ou leur retrait, ou qui ont une incidence sur la capacité des destinataires du service à fournir ces informations, telles que la suppression ou la suspension du compte d’un destinataire.
conditions générales [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
conditions générales [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toutes les clauses, quelle que soit leur dénomination ou leur forme, qui régissent la relation contractuelle entre le fournisseur de services intermédiaires et les destinataires du service.
personnes handicapées[Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
personnes handicapées [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les “personnes handicapées” visées à l’article 3, point 1), de la directive (UE) 2019/882 du Parlement européen et du Conseil (les personnes qui présentent une incapacité physique, mentale, intellectuelle ou sensorielle durable dont l’interaction avec diverses barrières peut faire obstacle à leur pleine et effective participation à la société sur la base de l’égalité avec les autres) ;
communication commerciale [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
communication commerciale [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : la “communication commerciale” telle qu’elle est définie à l’article 2, point f), de la directive 2000/31/CE (toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services, ou l'image d'une entreprise, d'une organisation ou d'une personne ayant une activité commerciale, industrielle, artisanale ou exerçant une profession réglementée. Ne constituent pas en tant que telles des communications commerciales: - les informations permettant l'accès direct à l'activité de l'entreprise, de l'organisation ou de la personne, notamment un nom de domaine ou une adresse de courrier électronique, - les communications relatives aux biens, aux services ou à l'image de l'entreprise, de l'organisation ou de la personne élaborées d'une manière indépendante, en particulier lorsqu'elles sont fournies sans contrepartie financière) ;
chiffre d’affaires [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
chiffre d’affaires [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le montant atteint par une entreprise au sens de l’article 5, paragraphe 1, du règlement (CE) n° 139/2004 du Conseil (Le chiffre d'affaires total au sens du présent règlement comprend les montants résultant de la vente de produits et de la prestation de services réalisées par les entreprises concernées au cours du dernier exercice et correspondant à leurs activités ordinaires, déduction faite des réductions sur ventes ainsi que de la taxe sur la valeur ajoutée et d'autres impôts directement liés au chiffre d'affaires. Le chiffre d'affaires total d'une entreprise concernée ne tient pas compte des transactions intervenues entre les entreprises visées au paragraphe 4 du présent article. Le chiffre d'affaires réalisé soit dans la Communauté, soit dans un État membre, comprend les produits vendus et les services fournis à des entreprises ou des consommateurs soit dans la Communauté, soit dans cet État membre.).
éditeur de logiciel [article L. 2321-4-1 du Code de la défense modifié par la LPM du 1er août 2023] :
éditeur de logiciel [article L. 2321-4-1 du Code de la défense modifié par la LPM du 1er août 2023] : toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.
Incident informatique [Article L. 2321-4-1 du Code de la défense modifié par la LPM du 1er août 2023]
incident informatique [Article L. 2321-4-1 du Code de la défense modifié par la LPM du 1er août 2023] : tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles.
Sauvegarde [Jurisprudence OVH - Tribunal de commerce de Lille Métropole, jugement du 26 janvier 2023]
sauvegarde [Jurisprudence OVH - Tribunal de commerce de Lille Métropole, jugement du 26 janvier 2023] : la sauvegarde a pour objet de mettre en sécurité les données pour pouvoir les restaurer dans le cas où un incident (panne, cyberattaque, inondation, incendie, sinistre quelconque …) touche le serveur principal. La sauvegarde n’a donc d’intérêt précisément qu’en cas de sinistre et a fortiori en cas d’incendie.
éditeur de logiciel [LPM 1er août 2023]
éditeur de logiciel [Loi n°2023-703 du 1er août 2023 relative à la programmation militaire, article 66] : toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.
incident informatique [LPM 1er août 2023]
incident informatique [Loi n°2023-703 du 1er août 2023 relative à la programmation militaire, article 66] : tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles.
produit comportant des éléments numériques [Cyber Resilience Act, texte adopté, 12 mars 2024]
produit comportant des éléments numériques [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;
traitement de données à distance [Cyber Resilience Act, texte adopté, 12 mars 2024]
traitement de données à distance [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous la responsabilité de ce dernier, et dont l’absence empêcherait le produit comportant des éléments numériques d’exécuter une de ses fonctions ;
logiciel [Cyber Resilience Act, texte adopté, 12 mars 2024]
logiciel [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : la partie d’un système d’information électronique qui consiste en un code informatique ;
matériel informatique [Cyber Resilience Act, texte adopté, 12 mars 2024]
matériel informatique [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un système d’information électronique physique, ou des parties de celui-ci, capable de traiter, de stocker ou de transmettre des données numériques ;
composant [Cyber Resilience Act, texte adopté, 12 mars 2024]
composant [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un logiciel ou du matériel destiné à être intégré dans un système d’information électronique ;
système d’information électronique [Cyber Resilience Act, texte adopté, 12 mars 2024]
système d’information électronique [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques ;
connexion logique [Cyber Resilience Act, texte adopté, 12 mars 2024]
connexion logique [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une représentation virtuelle d’une connexion de données mise en œuvre au moyen d’une interface logicielle ;
connexion physique [Cyber Resilience Act, texte adopté, 12 mars 2024]
connexion physique [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une connexion entre des systèmes d’information électroniques ou des composants mis en œuvre par des moyens physiques, y compris par des interfaces électriques, optiques ou mécaniques, des fils ou des ondes radio ;
connexion indirecte [Cyber Resilience Act, texte adopté, 12 mars 2024]
connexion indirecte [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une connexion à un dispositif ou à un réseau, qui n’est pas établie directement, mais plutôt dans le cadre d’un système plus vaste qui peut être directement connecté à ce dispositif ou à ce réseau ;
utilisation raisonnablement prévisible [Cyber Resilience Act, texte adopté, 12 mars 2024]
utilisation raisonnablement prévisible [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une utilisation qui n’est pas nécessairement celle qui est prévue par le fabricant et qui figure dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique, mais qui est susceptible de résulter d’un comportement humain, d’opérations techniques ou d’interactions raisonnablement prévisibles ;
consommateur [Cyber Resilience Act, texte adopté, 12 mars 2024]
consommateur [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale ;
point terminal [Cyber Resilience Act, texte adopté, 12 mars 2024]
point terminal [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : tout dispositif connecté à un réseau et servant de point d’entrée à ce réseau ;
mandataire [Cyber Resilience Act, texte adopté, 12 mars 2024]
mandataire [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une personne physique ou morale établie dans l’Union ayant reçu mandat écrit du fabricant pour agir en son nom aux fins de l’accomplissement de tâches déterminées ;
mise à disposition sur le marché [Cyber Resilience Act, texte adopté, 12 mars 2024]
mise à disposition sur le marché [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : la fourniture d’un produit comportant des éléments numériques destiné à être distribué ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit ;
risque de cybersécurité important [Cyber Resilience Act, texte adopté, 12 mars 2024]
risque de cybersécurité important [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir un impact négatif grave, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable ;
«vulnérabilité [Cyber Resilience Act, texte adopté, 12 mars 2024]
«vulnérabilité [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace ;
incident ayant un impact sur la sécurité du produit comportant des éléments numériques [Cyber Resilience Act, texte adopté, 12 mars 2024]
incident ayant un impact sur la sécurité du produit comportant des éléments numériques [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un incident qui entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions;
logiciel libre et ouvert [Cyber Resilience Act, texte adopté, 12 mars 2024]
logiciel libre et ouvert [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant qu’il soit librement accessible, utilisable, modifiable et redistribuable pour tous ses droits ;
risque de cybersécurité [Cyber Resilience Act, texte adopté, 12 mars 2024]
risque de cybersécurité [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise ;
mauvaise utilisation raisonnablement prévisible [Cyber Resilience Act, texte adopté, 12 mars 2024]
mauvaise utilisation raisonnablement prévisible [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : l’utilisation d’un produit comportant des éléments numériques d’une manière qui n’est pas conforme à son utilisation prévue, mais qui peut résulter d’un comportement humain ou d’une interaction avec d’autres systèmes raisonnablement prévisibles ;
fabricant [Cyber Resilience Act, texte adopté, 12 mars 2024]
fabricant [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit ;
distributeur [Cyber Resilience Act, texte adopté, 12 mars 2024]
distributeur [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés ;
importateur [Cyber Resilience Act, texte adopté, 12 mars 2024]
importateur [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une personne physique ou morale établie dans l’Union qui met sur le marché un produit comportant des éléments numériques, lequel porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union ;
administrateur de logiciels ouverts [Cyber Resilience Act, texte adopté, 12 mars 2024]
administrateur de logiciels ouverts [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits ;
opérateur économique [Cyber Resilience Act, texte adopté, 12 mars 2024]
opérateur économique [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à leur mise à disposition sur le marché en vertu du présent règlement ;
vulnérabilité exploitable [Cyber Resilience Act, texte adopté, 12 mars 2024]
vulnérabilité exploitable [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une vulnérabilité susceptible d’être utilisée efficacement par un adversaire en conditions de fonctionnement effectives ;
vulnérabilité activement exploitée [Cyber Resilience Act, texte adopté, 12 mars 2024]
vulnérabilité activement exploitée [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système ;
cybersécurité [Cyber Resilience Act, texte adopté, 12 mars 2024]
cybersécurité [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881 ; ==> Voir la définition de "cyber sécurité" du Règlement UE Cyber Security Act n°2019-881 du 17 avril 2019
période d’assistance [Cyber Resilience Act, texte adopté, 12 mars 2024]
période d’assistance [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles énoncées à l’annexe I, partie II ;
utilisation prévue [Cyber Resilience Act, texte adopté, 12 mars 2024]
utilisation prévue [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique ;
mise sur le marché [Cyber Resilience Act, texte adopté, 12 mars 2024]
mise sur le marché [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union ;
autorité notifiante [Cyber Resilience Act, texte adopté, 12 mars 2024]
autorité notifiante [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle ;
évaluation de la conformité [Cyber Resilience Act, texte adopté, 12 mars 2024]
évaluation de la conformité [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : le processus qui permet de vérifier si les exigences essentielles énoncées à l’annexe I ont été respectées ;
organisme d’évaluation de la conformité [Cyber Resilience Act, texte adopté, 12 mars 2024]
organisme d’évaluation de la conformité [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (UE) nº 765/2008 ;
modification substantielle [Cyber Resilience Act, texte adopté, 12 mars 2024]
modification substantielle [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué ;
marquage CE [Cyber Resilience Act, texte adopté, 12 mars 2024]
marquage CE [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable qui en prévoit l’apposition ;
norme internationale [Cyber Resilience Act, texte adopté, 12 mars 2024]
éditeur de logiciel [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une norme internationale au sens de l’article 2, point 1) a), du règlement (UE) nº 1025/2012;
nomenclature des logiciels [Cyber Resilience Act, texte adopté, 12 mars 2024]
nomenclature des logiciels [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques ;
incident [Cyber Resilience Act, texte adopté, 12 mars 2024]
incident [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un incident au sens de l’article 6, point 6), de la directive (UE) 2022/2555 ;
incident évité [Cyber Resilience Act, texte adopté, 12 mars 2024]
incident évité [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un incident évité au sens de l’article 6, point 5), de la directive (UE) 2022/2555 ; ===> Voir la définition de "incident évité" dans la directive NIS2
cybermenace [Cyber Resilience Act, texte adopté, 12 mars 2024]
cybermenace [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881 ; ===> Voir la définition de "cybermeance" dans le règlement Cyber Security Act 2019/881
CSIRT désigné comme coordinateur [Cyber Resilience Act, texte adopté, 12 mars 2024]
CSIRT désigné comme coordinateur [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555. ===> Voir la définition de "un CSIRT désigné comme coordinateur" dans la directive NIS2 2022/2555
système d’IA [Règlement IA du 13 juin 2024]
système d’IA [Règlement "IA" du 13 juin 2024 2024/1689] : un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ;
déployeur [Règlement IA du 13 juin 2024]
déployeur [Règlement "IA" du 13 juin 2024 2024/1689] : une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel ;
fournisseur [Règlement IA du 13 juin 2024]
fournisseur [Règlement "IA" du 13 juin 2024 2024/1689] : une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ;
mandataire [Règlement IA du 13 juin 2024]
mandataire [Règlement "IA" du 13 juin 2024 2024/1689] : une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement ;
importateur [Règlement IA du 13 juin 2024]
importateur [Règlement "IA" du 13 juin 2024 2024/1689] : une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers ;
distributeur [Règlement IA du 13 juin 2024]
distributeur [Règlement "IA" du 13 juin 2024 2024/1689] : une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union ;
maîtrise de l’IA [Règlement IA du 13 juin 2024]
maîtrise de l’IA [Règlement "IA" du 13 juin 2024 2024/1689] : les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux déployeurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le contexte du présent règlement, de procéder à un déploiement des systèmes d’IA en toute connaissance de cause, ainsi que de prendre conscience des possibilités et des risques que comporte l’IA, ainsi que des préjudices potentiels qu’elle peut causer ;
incident grave [Règlement IA du 13 juin 2024]
incident grave [Règlement "IA" du 13 juin 2024 2024/1689] : un incident ou dysfonctionnement d’un système d’IA entraînant directement ou indirectement: a) le décès d’une personne ou une atteinte grave à la santé d’une personne ; b) une perturbation grave et irréversible de la gestion ou du fonctionnement d’infrastructures critiques ; c) la violation des obligations au titre du droit de l’Union visant à protéger les droits fondamentaux ; d) un dommage grave à des biens ou à l’environnement.
marquage CE [Règlement IA du 13 juin 2024]
marquage CE [Règlement "IA" du 13 juin 2024 2024/1689] : un marquage par lequel le fournisseur indique qu’un système d’IA est conforme aux exigences du chapitre III, section 2, et d’autres actes législatifs d’harmonisation de l’Union applicables qui en prévoient l’apposition ;
notice d’utilisation [Règlement IA du 13 juin 2024]
composant de sécurité [Règlement IA du 13 juin 2024]
composant de sécurité [Règlement "IA" du 13 juin 2024 2024/1689] : un composant d’un produit ou d’un système d’IA qui remplit une fonction de sécurité pour ce produit ou ce système d’IA, ou dont la défaillance ou le dysfonctionnement met en danger la santé et la sécurité des personnes ou des biens ;
mise sur le marché [Règlement IA du 13 juin 2024]
système de surveillance après commercialisation [Règlement IA du 13 juin 2024]
système de surveillance après commercialisation [Règlement "IA" du 13 juin 2024 2024/1689] : l’ensemble des activités réalisées par les fournisseurs de systèmes d’IA pour recueillir et analyser les données issues de l’expérience d’utilisation des systèmes d’IA qu’ils mettent sur le marché ou mettent en service de manière à repérer toute nécessité d’appliquer immédiatement une mesure préventive ou corrective;
mise à disposition sur le marché [Règlement IA du 13 juin 2024]
mise à disposition sur le marché [Règlement "IA" du 13 juin 2024 2024/1689] : la fourniture d’un système d’IA ou d’un modèle d’IA à usage général destiné à être distribué ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit ;
rappel d’un système d’IA [Règlement IA du 13 juin 2024]
rappel d’un système d’IA [Règlement "IA" du 13 juin 2024 2024/1689] : toute mesure visant à assurer le retour au fournisseur d’un système d’IA mis à la disposition de déployeurs ou à le mettre hors service ou à désactiver son utilisation;
mauvaise utilisation raisonnablement prévisible [Règlement IA du 13 juin 2024]
mauvaise utilisation raisonnablement prévisible [Règlement "IA" du 13 juin 2024 2024/1689] : l’utilisation d’un système d’IA d’une manière qui n’est pas conforme à sa destination, mais qui peut résulter d’un comportement humain raisonnablement prévisible ou d’une interaction raisonnablement prévisible avec d’autres systèmes, y compris d’autres systèmes d’IA ;
mise en service [Règlement IA du 13 juin 2024]
mise en service [Règlement "IA" du 13 juin 2024 2024/1689] : la fourniture d’un système d’IA en vue d’une première utilisation directement au déployeur ou pour usage propre dans l’Union, conformément à la destination du système d’IA ;
destination [Règlement IA du 13 juin 2024]
destination [Règlement "IA" du 13 juin 2024 2024/1689] : l’utilisation à laquelle un système d’IA est destiné par le fournisseur, y compris le contexte et les conditions spécifiques d’utilisation, tels qu’ils sont précisés dans les informations communiquées par le fournisseur dans la notice d’utilisation, les indications publicitaires ou de vente et les déclarations, ainsi que dans la documentation technique ;
retrait d’un système d’IA [Règlement IA du 13 juin 2024]
système de reconnaissance des émotions [Règlement IA du 13 juin 2024]
système de reconnaissance des émotions [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’IA permettant la reconnaissance ou la déduction des émotions ou des intentions de personnes physiques sur la base de leurs données biométriques ;
système d’identification biométrique à distance [Règlement IA du 13 juin 2024]
système d’identification biométrique à distance [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’IA destiné à identifier des personnes physiques sans leur participation active, généralement à distance, en comparant les données biométriques d’une personne avec celles qui figurent dans une base de données ;
système de catégorisation biométrique [Règlement IA du 13 juin 2024]
système de catégorisation biométrique [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’IA destiné à affecter des personnes physiques à des catégories spécifiques sur la base de leurs données biométriques, à moins que cela ne soit accessoire à un autre service commercial et strictement nécessaire pour des raisons techniques objectives ;
évaluation de la conformité [Règlement IA du 13 juin 2024]
évaluation de la conformité [Règlement "IA" du 13 juin 2024 2024/1689] : la procédure permettant de démontrer que les exigences relatives à un système d’IA à haut risque énoncées au chapitre III, section 2, ont été respectées ;
données biométriques [Règlement IA du 13 juin 2024]
données biométriques [Règlement "IA" du 13 juin 2024 2024/1689] : les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, telles que des images faciales ou des données dactyloscopiques ;
données de validation [Règlement IA du 13 juin 2024]
données de validation [Règlement "IA" du 13 juin 2024 2024/1689] : les données utilisées pour fournir une évaluation du système d’IA entraîné et pour régler ses paramètres non entraînables ainsi que son processus d’apprentissage, afin, notamment, d’éviter tout sous-ajustement ou surajustement ;
modification substantielle [Règlement IA du 13 juin 2024]
modification substantielle [Règlement "IA" du 13 juin 2024 2024/1689] : une modification apportée à un système d’IA après sa mise sur le marché ou sa mise en service, qui n’est pas prévue ou planifiée dans l’évaluation initiale de la conformité réalisée par le fournisseur et qui a pour effet de nuire à la conformité de ce système aux exigences énoncées au chapitre III, section 2, ou qui entraîne une modification de la destination pour laquelle le système d’IA a été évalué ;
Bureau de l’IA [Règlement IA du 13 juin 2024]
Bureau de l’IA [Règlement "IA" du 13 juin 2024 2024/1689] : la fonction de la Commission consistant à contribuer à la mise en œuvre, au suivi et à la surveillance des systèmes d’IA et de modèles d’IA à usage général et de la gouvernance de l’IA, établi par la décision de la Commission du 24 janvier 2024; les références faites au Bureau de l’IA dans le présent règlement s’entendent comme faites à la Commission ;
données opérationnelles sensibles [Règlement IA du 13 juin 2024]
données opérationnelles sensibles [Règlement "IA" du 13 juin 2024 2024/1689] : les données opérationnelles relatives à des activités de prévention et de détection des infractions pénales, ainsi que d’enquête ou de poursuites en la matière, dont la divulgation pourrait compromettre l’intégrité des procédures pénales ;
identification biométrique [Règlement IA du 13 juin 2024]
identification biométrique [Règlement "IA" du 13 juin 2024 2024/1689] : la reconnaissance automatisée de caractéristiques physiques, physiologiques, comportementales ou psychologiques humaines aux fins d’établir l’identité d’une personne physique en comparant ses données biométriques à des données biométriques de personnes stockées dans une base de données ;
système d’IA à usage général [Règlement IA du 13 juin 2024]
système d’IA à usage général [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’IA qui est fondé sur un modèle d’IA à usage général et qui a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA ;
organisme d’évaluation de la conformité [Règlement IA du 13 juin 2024]
organisme d’évaluation de la conformité [Règlement "IA" du 13 juin 2024 2024/1689] : un organisme en charge des activités d’évaluation de la conformité par un tiers, y compris la mise à l’essai, la certification et l’inspection ;
système d’identification biométrique à distance en temps réel [Règlement IA du 13 juin 2024]
système d’identification biométrique à distance en temps réel [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’identification biométrique à distance dans lequel l’acquisition des données biométriques, la comparaison et l’identification se déroulent sans décalage temporel important et qui comprend non seulement l’identification instantanée, mais aussi avec un léger décalage afin d’éviter tout contournement des règles ;
système d’identification biométrique à distance a posteriori [Règlement IA du 13 juin 2024]
système d’identification biométrique à distance a posteriori [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’identification biométrique à distance autre qu’un système d’identification biométrique à distance en temps réel ;
espace accessible au public [Règlement IA du 13 juin 2024]
espace accessible au public [Règlement "IA" du 13 juin 2024 2024/1689] : tout espace physique de propriété publique ou privée, accessible à un nombre indéterminé de personnes physiques, indépendamment de l’existence de conditions d’accès à cet espace qui puissent s’appliquer, et indépendamment d’éventuelles restrictions de capacité ;
risque systémique [Règlement IA du 13 juin 2024]
risque systémique [Règlement "IA" du 13 juin 2024 2024/1689] : un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur ;
jeu de données de validation [Règlement IA du 13 juin 2024]
fournisseur en aval [Règlement IA du 13 juin 2024]
fournisseur en aval [Règlement "IA" du 13 juin 2024 2024/1689] : un fournisseur d’un système d’IA, y compris d’un système d’IA à usage général, qui intègre un modèle d’IA, que le modèle d’IA soit fourni par lui-même ou non, et verticalement intégré ou fourni par une autre entité sur la base de relations contractuelles.
opération en virgule flottante [Règlement IA du 13 juin 2024]
opération en virgule flottante [Règlement "IA" du 13 juin 2024 2024/1689] : toute opération ou assignation mathématique impliquant des nombres en virgule flottante, qui constituent un sous-ensemble des nombres réels généralement représentés sur un ordinateur par un entier de précision fixe suivi d’un exposant entier d’une base fixe ;
capacités à fort impact [Règlement IA du 13 juin 2024]
modèle d’IA à usage général [Règlement IA du 13 juin 2024]
modèle d’IA à usage général [Règlement "IA" du 13 juin 2024 2024/1689] : un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché ;
plan d’essais en conditions réelles [Règlement IA du 13 juin 2024]
plan d’essais en conditions réelles [Règlement "IA" du 13 juin 2024 2024/1689] : un document décrivant les objectifs, la méthode, la population et le champ d’application géographique et la portée dans le temps, le suivi, l’organisation et la conduite des essais en conditions réelles ;
hypertrucage [Règlement IA du 13 juin 2024]
hypertrucage [Règlement "IA" du 13 juin 2024 2024/1689] : une image ou un contenu audio ou vidéo généré ou manipulé par l’IA, présentant une ressemblance avec des personnes, des objets, des lieux, des entités ou événements existants et pouvant être perçu à tort par une personne comme authentiques ou véridiques ;
essais en conditions réelles [Règlement IA du 13 juin 2024]
essais en conditions réelles [Règlement "IA" du 13 juin 2024 2024/1689] : les essais temporaires d’un système d’IA aux fins de sa destination en conditions réelles en dehors d’un laboratoire ou d’un environnement simulé d’une autre manière, visant à recueillir des données fiables et solides et à évaluer et vérifier la conformité du système d’IA aux exigences du présent règlement; les essais en conditions réelles ne remplissent pas les conditions pour constituer une mise sur le marché ni une mise en service du système d’IA au sens du présent règlement, pour autant que toutes les conditions prévues à l’article 57 ou à l’article 60 soient remplies ;
organisme notifié [Règlement IA du 13 juin 2024]
bac à sable réglementaire de l’IA [Règlement IA du 13 juin 2024]
bac à sable réglementaire de l’IA [Règlement "IA" du 13 juin 2024 2024/1689] : un cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou fournisseurs potentiels de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu en conditions réelles, un système d’IA innovant, selon un plan du bac à sable pour une durée limitée sous surveillance réglementaire ;
données d’entrée [Règlement IA du 13 juin 2024]
données de test [Règlement IA du 13 juin 2024]
données de test [Règlement "IA" du 13 juin 2024 2024/1689] : les données utilisées pour fournir une évaluation indépendante du système d’IA afin de confirmer la performance attendue de ce système avant sa mise sur le marché ou sa mise en service ;
vérification biométrique [Règlement IA du 13 juin 2024]
vérification biométrique [Règlement "IA" du 13 juin 2024 2024/1689] : la vérification «un à un» automatisée, y compris l’authentification, de l’identité des personnes physiques en comparant leurs données biométriques à des données biométriques précédemment fournies ;
consentement éclairé [Règlement IA du 13 juin 2024]
consentement éclairé [Règlement "IA" du 13 juin 2024 2024/1689] : l’expression libre, spécifique, univoque et volontaire, par un participant, de sa volonté de participer à un essai en conditions réelles particulier, après avoir été informé de tous les éléments de l’essai qui lui permettent de prendre sa décision concernant sa participation ;
catégories particulières de données à caractère personnel [Règlement IA du 13 juin 2024]
catégories particulières de données à caractère personnel [Règlement "IA" du 13 juin 2024 2024/1689] : les catégories de données à caractère personnel visées à l’article 9, paragraphe 1, du règlement (UE) 2016/679, à l’article 10 de la directive (UE) 2016/680 et à l’article 10, paragraphe 1, du règlement (UE) 2018/1725 ;
autorités répressives [Règlement IA du 13 juin 2024]
autorités répressives», [Règlement "IA" du 13 juin 2024 2024/1689] : a) toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; ou b) tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
activités répressives [Règlement IA du 13 juin 2024]
activités répressives [Règlement "IA" du 13 juin 2024 2024/1689] : des activités menées par les autorités répressives ou pour leur compte pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
autorité nationale compétente [Règlement IA du 13 juin 2024]
autorité nationale compétente [Règlement "IA" du 13 juin 2024 2024/1689] : une autorité notifiante ou une autorité de surveillance du marché; en ce qui concerne les systèmes d’IA mis en service ou utilisés par les institutions, organes ou organismes de l’Union, les références aux autorités nationales compétentes ou aux autorités de surveillance du marché dans le présent règlement s’entendent comme une référence au Contrôleur européen de la protection des données ;
plan du bac à sable [Règlement IA du 13 juin 2024]
plan du bac à sable [Règlement "IA" du 13 juin 2024 2024/1689] : un document adopté conjointement entre le fournisseur participant et l’autorité compétente, qui décrit les objectifs, les conditions, les délais, la méthodologie et les exigences applicables aux activités réalisées au sein du bac à sable ;
infraction de grande ampleur [Règlement IA du 13 juin 2024]
infraction de grande ampleur [Règlement "IA" du 13 juin 2024 2024/1689] : tout acte ou toute omission contraire au droit de l’Union en matière de protection des intérêts des personnes, qui: a) a porté ou est susceptible de porter atteinte aux intérêts collectifs des personnes résidant dans au moins deux États membres autres que celui: i) où l’acte ou l’omission en question a son origine ou a eu lieu; ii) où le fournisseur concerné ou, le cas échéant, son mandataire, est situé ou établi; ou iii) où le déployeur est établi, lorsque l’infraction est commise par le déployeur; b) a porté, porte ou est susceptible de porter atteinte aux intérêts collectifs des personnes, qui présente des caractéristiques communes, notamment la même pratique illégale ou la violation du même intérêt, et qui se produit simultanément, commise par le même opérateur, dans au moins trois États membres ;
données [Règlement UE 2022/868 «DGA » du 30 mai 2022]
données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels;
réutilisation [Règlement UE 2022/868 «DGA » du 30 mai 2022]
réutilisation [Règlement UE 2022/868 «DGA » du 30 mai 2022] : l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l’objectif initial de la mission de service public pour lequel les données ont été produites, à l’exception de l’échange de données entre des organismes du secteur public aux seules fins de l’exercice de leur mission de service public ;
données à caractère non personnel» [Règlement UE 2022/868 «DGA » du 30 mai 2022]
données à caractère non personnel» [Règlement UE 2022/868 «DGA » du 30 mai 2022] : les données autres que les données à caractère personnel ;
autorisation [Règlement UE 2022/868 «DGA » du 30 mai 2022]
autorisation [Règlement UE 2022/868 «DGA » du 30 mai 2022] : le fait d’accorder aux utilisateurs de données le droit au traitement de données à caractère non personnel ;
détenteur de données [Règlement UE 2022/868 «DGA » du 30 mai 2022]
détenteur de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : une personne morale, y compris des organismes du secteur public et des organisations internationales, ou une personne physique qui n’est pas une personne concernée pour ce qui est des données spécifiques considérées, qui, conformément au droit de l’Union ou au droit national applicable, a le droit d’octroyer l’accès à certaines données à caractère personnel ou non personnel;
utilisateur de données [Règlement UE 2022/868 «DGA » du 30 mai 2022]
utilisateur de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : une personne physique ou morale qui dispose d’un accès licite à certaines données à caractère personnel ou non personnel et qui a le droit, y compris au titre du règlement (UE) 2016/679 lorsqu’il s’agit de données à caractère personnel, d’utiliser ces données à des fins commerciales ou non commerciales;
partage de données [Règlement UE 2022/868 «DGA » du 30 mai 2022]
partage de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : la fourniture de données à un utilisateur de données par une personne concernée ou un détenteur de données, en vue de l’utilisation conjointe ou individuelle desdites données, sur la base d’accords volontaires ou du droit de l’Union ou du droit national, directement ou via un intermédiaire, par exemple dans le cadre de licences ouvertes ou commerciales, moyennant le paiement d’une redevance ou gratuitement ;
service d’intermédiation de données [Règlement UE 2022/868 «DGA » du 30 mai 2022]
service d’intermédiation de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel, à l’exclusion au minimum de ce qui suit: a) des services qui obtiennent des données auprès des détenteurs de données et les agrègent, les enrichissent ou les transforment afin d’en accroître substantiellement la valeur et concèdent une licence d’utilisation des données résultantes aux utilisateurs de données, sans établir de relation commerciale directe entre les détenteurs de données et les utilisateurs de données; b) des services axés sur l’intermédiation de contenus protégés par le droit d’auteur; c) des services qui sont utilisés exclusivement par un seul détenteur de données pour lui permettre d’utiliser les données qu’il détient, ou qui sont utilisés par des personnes morales multiples au sein d’un groupe fermé, y compris dans le cadre de relations de fournisseur ou de client ou de collaborations établies par contrat, en particulier ceux qui ont pour principal objectif de garantir les fonctionnalités d’objets et de dispositifs connectés à l’internet des objets; d) des services pour le partage de données proposés par des organismes du secteur public qui ne cherchent pas à établir des relations commerciales ;
accès [Règlement UE 2022/868 «DGA » du 30 mai 2022]
accès [Règlement UE 2022/868 «DGA » du 30 mai 2022] : l’utilisation de données conformément à des exigences techniques, juridiques ou organisationnelles particulières, sans que cela implique nécessairement la transmission ou le téléchargement de données ;
établissement principal [Règlement UE 2022/868 «DGA » du 30 mai 2022]
établissement principal [Règlement UE 2022/868 «DGA » du 30 mai 2022] : en ce qui concerne une personne morale, le lieu de son administration centrale dans l’Union ;
services de coopératives de données [Règlement UE 2022/868 «DGA » du 30 mai 2022]
services de coopératives de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : les services d’intermédiation de données proposés par une structure organisationnelle constituée de personnes concernées, d’entreprises unipersonnelles ou de PME qui sont membres de cette structure dont les objectifs principaux consistent à aider ses membres à exercer leurs droits à l’égard de certaines données, y compris quant au fait d’opérer des choix en connaissance de cause avant qu’ils ne consentent au traitement de données, à mener des échanges de vues sur les finalités et les conditions du traitement de données qui représenteraient le mieux les intérêts de ses membres en ce qui concerne leurs données, et à négocier les conditions et modalités du traitement des données au nom de ses membres avant que ceux-ci ne donnent l’autorisation de traiter des données à caractère non personnel ou ne donnent leur consentement au traitement de données à caractère personnel ;
altruisme en matière de données [Règlement UE 2022/868 «DGA » du 30 mai 2022]
altruisme en matière de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national, le cas échéant, par exemple les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, la facilitation du développement, de la production et de la diffusion de statistiques officielles, l’amélioration de la prestation de services publics, l’élaboration des politiques publiques ou la recherche scientifique dans l’intérêt général;
environnement de traitement sécurisé [Règlement UE 2022/868 «DGA » du 30 mai 2022]
«environnement de traitement sécurisé» [Règlement UE 2022/868 «DGA » du 30 mai 2022] : l’environnement physique ou virtuel et les moyens organisationnels pour garantir le respect du droit de l’Union, tel que le règlement (UE) 2016/679, en particulier en ce qui concerne les droits des personnes concernées, les droits de propriété intellectuelle, la confidentialité commerciale et le secret statistique, l’intégrité et l’accessibilité, ainsi que le respect du droit national applicable, et pour permettre à l’entité fournissant l’environnement de traitement sécurisé de déterminer et de surveiller toutes les opérations de traitement de données, notamment l’affichage, le stockage, le téléchargement et l’exportation de données et le calcul de données dérivées au moyen d’algorithmes de calcul ;
entreprise publique [Règlement UE 2022/868 «DGA » du 30 mai 2022]
entreprise publique [Règlement UE 2022/868 «DGA » du 30 mai 2022] : toute entreprise sur laquelle les organismes du secteur public peuvent exercer directement ou indirectement une influence dominante du fait de la propriété de l’entreprise, de la participation financière qu’ils y détiennent ou des règles qui la régissent; aux fins de la présente définition, une influence dominante des organismes du secteur public sur l’entreprise est présumée dans tous les cas suivants lorsque ces organismes, directement ou indirectement: a) détiennent la majorité du capital souscrit de l’entreprise; b) disposent de la majorité des voix attachées aux parts émises par l’entreprise; c) peuvent désigner plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance de l’entreprise;
organisme du secteur public [Règlement UE 2022/868 «DGA » du 30 mai 2022]
organisme du secteur public [Règlement UE 2022/868 «DGA » du 30 mai 2022] : l’État, les autorités régionales ou locales, les organismes de droit public ou les associations formées par une ou plusieurs de ces autorités ou un ou plusieurs de ces organismes de droit public;
représentant légal [Règlement UE 2022/868 «DGA » du 30 mai 2022]
représentant légal [Règlement UE 2022/868 «DGA » du 30 mai 2022] : une personne physique ou morale établie dans l’Union, expressément désignée pour agir pour le compte d’un prestataire de services d’intermédiation de données ou d’une entité qui collecte pour des objectifs d’intérêt général des données mises à disposition par des personnes physiques ou morales sur le fondement de l’altruisme en matière de données non établi(e) dans l’Union, qui peut être contactée par les autorités compétentes en matière de services d’intermédiation de données et les autorités compétentes pour l’enregistrement des organisations altruistes en matière de données en plus du prestataire de services d’intermédiation de données ou de l’entité, ou à leur place, en ce qui concerne les obligations prévues dans le présent règlement, y compris en ce qui concerne le lancement d’une procédure d’exécution à l’encontre d’un prestataire de services d’intermédiation de données ou d’une entité non établi(e) dans l’Union qui ne respecte pas ses obligations.
audit [CyberDico ANSSI, 15 juillet 2024]
accès [CyberDico ANSSI, 15 juillet 2024] : Processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les exigences d’un référentiel sont satisfaites.
backdoor [CyberDico ANSSI, 15 juillet 2024]
backdoor (ou porte dérobée) [CyberDico ANSSI, 15 juillet 2024] : accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur de se connecter à une machine distante, de manière furtive.
Balayage de ports [CyberDico ANSSI, 15 juillet 2024]
Balayage de ports [CyberDico ANSSI, 15 juillet 2024] : Technique qui consiste à envoyer des paquets de données sur les différents ports d’une machine, puis à en déduire les états (la disponibilité) de ces ports en fonction de la réponse retournée, si elle existe.
Bug bounty program [CyberDico ANSSI, 15 juillet 2024]
Bug bounty program (ou programme de chasse aux vulnérabilités) [CyberDico ANSSI, 15 juillet 2024] : Appel à des spécialistes qui recherchent des vulnérabilités dans des applications ou des configurations de serveur en échange d’une gratification pour les découvertes et remontées.
CERT [CyberDico ANSSI, 15 juillet 2024]
Computer Emergency Response Team (CERT) [CyberDico ANSSI, 15 juillet 2024] : Centre de réponse aux incident cyber. Nom déposé. On utilise généralement directement le sigle.
CSIRT [CyberDico ANSSI, 15 juillet 2024]
Computer Security Incident Response Team (CSIRT) [CyberDico ANSSI, 15 juillet 2024] : Centre de réponse aux incidents cyber, appellation privilégiée en Europe. On utilise généralement directement le sigle.
cyberattaque [CyberDico ANSSI, 15 juillet 2024]
cyberattaque [CyberDico ANSSI, 15 juillet 2024] : Une cyberattaque consiste à porter atteinte à un ou plusieurs systèmes informatiques dans le but de satisfaire des intérêts malveillants. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou liés par réseaux, connectés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des moyens de communication comme les smartphones, les tablettes et les objets connectés. La sécurité de ces dispositifs informatiques est mise en danger soit par voie informatique (virus, logiciel malveillant, etc.), soit par manipulation, soit par voie physique (effraction, destruction). Les quatre grandes finalités des cyberattaques sont : l’appât du gain, la déstabilisation, l’espionnage et le sabotage
cyberdéfense [CyberDico ANSSI, 15 juillet 2024]
cyberdéfense [CyberDico ANSSI, 15 juillet 2024] : Ensemble des mesures techniques et non techniques permettant à un Etat de défendre dans le cyberespace les systèmes d’information jugés essentiels.
cybersécurité [CyberDico ANSSI, 15 juillet 2024]
cybersécurité [CyberDico ANSSI, 15 juillet 2024] : état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense.
Élévation de privilège [CyberDico ANSSI, 15 juillet 2024]
élévation de privilège [CyberDico ANSSI, 15 juillet 2024] : Obtention de privilège supérieur par exploitation d’une vulnérabilité. Par exemple, si un utilisateur local accède à des droits normalement réservés à l’administrateur, il y a élévation de privilège. Une élévation de privilège est souvent recherchée par une personne malveillante lorsqu’elle a réussi à s’introduire sur un système d’information en usurpant l’identité d’un utilisateur légitime.
hachage [CyberDico ANSSI, 15 juillet 2024]
hachage ou fonction de hachage [CyberDico ANSSI, 15 juillet 2024] : Fonction cryptographique qui transforme une chaîne de caractères de taille quelconque en une chaîne de caractères de taille fixe et généralement inférieure. Cette fonction satisfait entre autres deux propriétés :la fonction est « à sens unique » : il est difficile pour une image de la fonction donnée de calculer l’antécédent associé. La fonction est « sans collision » : il est difficile de trouver deux antécédents différents de la fonction ayant la même image.
hub [CyberDico ANSSI, 15 juillet 2024]
hub [CyberDico ANSSI, 15 juillet 2024] : dispositif informatique placé au nœud d'un réseau étoile, qui concentre et distribue les communications des données.
incident de sécurité [CyberDico ANSSI, 15 juillet 2024]
incident de sécurité [CyberDico ANSSI, 15 juillet 2024] : Un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc. Dans la taxonomie de l’ANSSI : Evènements de sécurité pour lesquels l’ANSSI confirme qu’un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime.
malware [CyberDico ANSSI, 15 juillet 2024]
malware [CyberDico ANSSI, 15 juillet 2024] : Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau.
pare-feu [CyberDico ANSSI, 15 juillet 2024]
pare-feu (ou firewall) [CyberDico ANSSI, 15 juillet 2024] : Un pare-feu (ou garde barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes
PRA [CyberDico ANSSI, 15 juillet 2024]
PRA (Plan de Reprise d'Activité) [CyberDico ANSSI, 15 juillet 2024] : Procédures documentées permettant aux entités de rétablir et de reprendre leurs activités en s’appuyant sur des mesures temporaires adoptées pour répondre aux exigences métier habituelles après un incident.
port [CyberDico ANSSI, 15 juillet 2024]
port [CyberDico ANSSI, 15 juillet 2024] : Code numérique utilisé dans les protocoles comme TCP ou UDP pour identifier à quel service appartient un paquet d’information du protocole IP. Par exemple, le service http est associé au port 80. La notion de port peut être assimilée à une porte donnant accès au système d’exploitation.
accès [CyberDico ANSSI, 15 juillet 2024]
accès [CyberDico ANSSI, 15 juillet 2024] : La communication sur l’internet est fondée sur un protocole appelé IP pour Internet Protocol qui permet aux ordinateurs de communiquer entre eux.
remédiation [CyberDico ANSSI, 15 juillet 2024]
remédiation [CyberDico ANSSI, 15 juillet 2024] : La remédiation consiste en la reprise de contrôle d’un système d’information compromis et le rétablissement d'un état de fonctionnement suffisant du service. La remédiation est l’une des dimensions majeures de la réponse à incident suite à une attaque cyber, avec l’investigation et la gestion de crise. C’est un travail qui commence dès l’endiguement de l’action adverse et qui peut s’étendre sur plusieurs mois. (Site ANSSI)
résilience [CyberDico ANSSI, 15 juillet 2024]
résilience [CyberDico ANSSI, 15 juillet 2024] : en informatique, capacité d’un système d’information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l’incident.
sabotage [CyberDico ANSSI, 15 juillet 2024]
sabotage [CyberDico ANSSI, 15 juillet 2024] : une opération de sabotage consiste, pour un individu ou un groupe d’individus, à conduire une attaque génératrice de dommages sur le système d’information de l’entité ciblée pouvant aller jusqu’à le rendre inopérant. Les conséquences d’une telle opération peuvent être désastreuses, en particulier si cette opération touche un secteur d’importance vitale comme la santé, le transport ou encore l’énergie.
supply chain attack [CyberDico ANSSI, 15 juillet 2024]
supply chain attack [CyberDico ANSSI, 15 juillet 2024] : Ce type d’attaque consiste à compromettre un tiers, comme un fournisseur de services logiciels ou un prestataire, afin de cibler la victime finale. Cette technique est éprouvée et exploitée par plusieurs acteurs étatiques et cybercriminels depuis au moins 2016. Cette méthode présente un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier ou une zone géographique précise notamment lorsque l’attaque cible un fournisseur de logiciels largement répandus, une entreprise de service numérique (ESN) locale ou spécialisée dans un secteur d’activité particulier.
système d'information [CyberDico ANSSI, 15 juillet 2024]
système d'information [CyberDico ANSSI, 15 juillet 2024] : ensemble organisé de ressources (matériels, logiciels, personnels, données et procédures) permettant de traiter et de diffuser de l’information.
Système d’information d’administration [CyberDico ANSSI, 15 juillet 2024]
Système d’information d’administration [CyberDico ANSSI, 15 juillet 2024] : C’est l’ensemble des ressources matérielles et logicielles nécessaires pour réaliser les tâches d’administration. Il inclut le système d’exploitation du poste de travail utilisé pour les tâches d’administration qui peut être soit l’unique système d’exploitation d’un poste de travail physiquement dédié, soit l’environnement d’exécution dans le cas d’un poste de travail mettant en œuvre une virtualisation légère, soit le système d’exploitation de la machine virtuelle d’un poste de travail virtualisé.
Système d’information d’importance vitale (SIIV) [CyberDico ANSSI, 15 juillet 2024]
Système d’information d’importance vitale (SIIV) [CyberDico ANSSI, 15 juillet 2024] : Ce sont les « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».
Tâche d’administration [CyberDico ANSSI, 15 juillet 2024]
Tâche d’administration [CyberDico ANSSI, 15 juillet 2024] : On appelle tâche d’administration d’un système d’information les opérations de configurations, maintenance, évolution du système d’infirmation administré, supervision ou gestion de la sécurité.
Test d’intrusion [CyberDico ANSSI, 15 juillet 2024]
Test d’intrusion [CyberDico ANSSI, 15 juillet 2024] : action qui consiste à essayer plusieurs codes d’exploitation sur un système d’information, afin de déterminer ceux qui donnent des résultats positifs. Remarque : il s’agit à la fois d’une intention défensive (mieux se protéger) et d’une action offensive (agresser son propre système d’information).
ver [CyberDico ANSSI, 15 juillet 2024]
ver [CyberDico ANSSI, 15 juillet 2024] : Un ver est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.
virus [CyberDico ANSSI, 15 juillet 2024]
virus [CyberDico ANSSI, 15 juillet 2024] : Programme dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, ...) et, souvent, d'en atteindre ou d'en parasiter les ressources (données, mémoire, réseau). Il s'implante au sein de programmes, se duplique à l'insu des utilisateurs, et peut nécessiter l'intervention explicite de ces derniers pour se propager (ouverture d'un courrier électronique, lancement d'un programme exécutable, etc.).
vulnérabilité [CyberDico ANSSI, 15 juillet 2024]
vulnérabilité [CyberDico ANSSI, 15 juillet 2024] : Faille de sécurité pouvant affecter un logiciel, un système d’information ou encore un composant matériel. Elle peut servir de porte d’entrée pour des acteurs malveillants s’ils parviennent à l’exploiter. Les vulnérabilités sont généralement corrigées lors des mises à jour ou par des correctifs publiés par les éditeurs.
vulnérabilité jour-zéro [CyberDico ANSSI, 15 juillet 2024]
vulnérabilité jour-zéro [CyberDico ANSSI, 15 juillet 2024] : vulnérabilité n'ayant fait l'objet d'aucune publication ou n'ayant reçu aucun correctif.
webshell [CyberDico ANSSI, 15 juillet 2024]
webshell [CyberDico ANSSI, 15 juillet 2024] : Type de fichier malveillant, exécuté comme un code par un serveur web, qui permet un accès et un contrôle à distance à un serveur Web en permettant l'exécution de commandes arbitraires. Bien préciser que cela permet à l'attaquant d'obtenir un accès à distance à la machine compromise (ex : Un attaquant pourrait exploiter cette vulnérabilité pour obtenir un accès à distance au serveur de la victime via une console web malveillante).
zéro-day [CyberDico ANSSI, 15 juillet 2024]
zéro-day [CyberDico ANSSI, 15 juillet 2024] : vulnérabilité n'ayant fait l'objet d'aucune publication ou n'ayant reçu aucun correctif.
wi-fi [CyberDico ANSSI, 15 juillet 2024]
wi-fi (accès sans fil) [CyberDico ANSSI, 15 juillet 2024] : Technologie de réseau informatique sans fil pouvant fonctionner pour construire un réseau interne accédant à Internet à haut débit.
webcam [CyberDico ANSSI, 15 juillet 2024]
webcam [CyberDico ANSSI, 15 juillet 2024] : caméra numérique, reliée à un ordinateur, qui permet de filmer et de diffuser en temps réel des vidéos sur un réseau.
VPN [CyberDico ANSSI, 15 juillet 2024]
VPN (virtual private network) [CyberDico ANSSI, 15 juillet 2024] : Interconnexion de réseaux locaux via une technique de tunnel sécurisé ou non, généralement à travers Internet.
visa de sécurité [CyberDico ANSSI, 15 juillet 2024]
visa de sécurité [CyberDico ANSSI, 15 juillet 2024] : Les Visas de sécurité que délivre l’ANSSI permettent d’identifier facilement les plus fiables d’entre elles et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée.
vecteur d'attaque [CyberDico ANSSI, 15 juillet 2024]
vecteur d'attaque [CyberDico ANSSI, 15 juillet 2024] : moyen d’accès utilisé par un acteur malveillant pour exploiter les failles de sécurité et accéder à un serveur ou un équipement (pièces jointes, pages Internet, vulnérabilités non corrigées).
force-brute [CyberDico ANSSI, 15 juillet 2024]
force-brute [CyberDico ANSSI, 15 juillet 2024] : technique d'attaque consistant à utiliser un nombre exhaustif d'authentifiant générés aléatoirement afin de deviner le bon mot de passe.
front-office [CyberDico ANSSI, 15 juillet 2024]
front-office [CyberDico ANSSI, 15 juillet 2024] : interface permettant d'accéder aux services en ligne.
homologation de sécurité [CyberDico ANSSI, 15 juillet 2024]
homologation de sécurité [CyberDico ANSSI, 15 juillet 2024] : L’homologation est délivrée par une autorité d’homologation pour un système d’information avant sa mise en service opérationnel. L’homologation permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré. Elle est imposée pour les systèmes d’information traitant des informations classifiées (IGI 1300) ou pour les télé-services dans le cadre du Référentiel Général de Sécurité (RGS).
hameçonnage ciblé [CyberDico ANSSI, 15 juillet 2024]
hameçonnage ciblé [CyberDico ANSSI, 15 juillet 2024] : cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée.
faille [CyberDico ANSSI, 15 juillet 2024]
faille (faille de sécurité) [CyberDico ANSSI, 15 juillet 2024] : vulnérabilité dans un système informatique permettant à un attaquant de porter atteinte à son fonctionnement normal, à la confidentialité ou à l’intégrité des données qu’il contient.
état de l'art [CyberDico ANSSI, 15 juillet 2024]
état de l'art [CyberDico ANSSI, 15 juillet 2024] : Ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine réglementaire.
espionnage [CyberDico ANSSI, 15 juillet 2024]
espionnage [CyberDico ANSSI, 15 juillet 2024] : type d’attaque consistant pour un attaquant à prendre pied discrètement dans le système d’information de la victime pour en exfiltrer de l’information stratégique pour l’entreprise. Une telle attaque, souvent sophistiquée, peut durer plusieurs années avant d’être détectée.
espiogiciel [CyberDico ANSSI, 15 juillet 2024]
espiogiciel [CyberDico ANSSI, 15 juillet 2024] : Logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement sur lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.
état de la menace [CyberDico ANSSI, 15 juillet 2024]
état de la menace [CyberDico ANSSI, 15 juillet 2024] : L’état de la menace caractérise, sur une période et un périmètre donnés, la nature et le niveau de risque atteints selon différentes variables telles que le type de menace, les acteurs concernés, les tendances observées, les modes opératoires à l’œuvre, les objectifs visés ou encore les moyens disponibles. Pour dresser ce panorama, l’ANSSI s’appuie sur une typologie de la menace en quatre catégories : cybercriminalité, déstabilisation, espionnage, sabotage.
exécution de code arbitraire [CyberDico ANSSI, 15 juillet 2024]
exécution de code arbitraire [CyberDico ANSSI, 15 juillet 2024] : mise en œuvre de commandes à distance sur un ordinateur, à l’insu de son utilisateur légitime.
exfiltration de données [CyberDico ANSSI, 15 juillet 2024]
exfiltration de données [CyberDico ANSSI, 15 juillet 2024] : vol ou transfert non autorisé des données depuis un terminal ou un réseau.
fraude à la carte bancaire [CyberDico ANSSI, 15 juillet 2024]
fraude à la carte bancaire [CyberDico ANSSI, 15 juillet 2024] : activité frauduleuse qui vise à pirater des cartes bancaires, notamment depuis des distributeurs de billets.
DNS pharming [CyberDico ANSSI, 15 juillet 2024]
DNS pharming [CyberDico ANSSI, 15 juillet 2024] : modification d'un serveur DNS, dans le but de rediriger un nom de domaine vers une adresse IP différente de l'adresse légitime.
accès [CyberDico ANSSI, 15 juillet 2024]
DNS (Domain name system) [CyberDico ANSSI, 15 juillet 2024] : système de bases de données et de serveurs assurant la correspondance entre les noms de domaine ou de sites utilisés par les internautes et les adresses numériques utilisables par les ordinateurs. Par exemple, le DNS établit la correspondance entre le domaine « cert.ssi.gouv.fr » et l’adresse 213.56.176.2. Ce système permet aux internautes d’utiliser, dans la rédaction des adresses, des noms faciles à retenir au lieu de la suite de chiffres du protocole IP.
POC [CyberDico ANSSI, 15 juillet 2024]
POC (proof of concept / démonstration de faisabilité) [CyberDico ANSSI, 15 juillet 2024] : démonstration de la faisabilité d’une attaque utilisant une vulnérabilité donnée.
déstabilisation [CyberDico ANSSI, 15 juillet 2024]
déstabilisation [CyberDico ANSSI, 15 juillet 2024] : action visant à fragiliser l’équilibre ou le bon fonctionnement de processus et d'institutions avec une volonté de résonnance.
cookie [CyberDico ANSSI, 15 juillet 2024]
cookie [CyberDico ANSSI, 15 juillet 2024] : petit fichier installé sur le disque dur lors de la consultation d'un site Internet, qui permet au serveur de mémoriser des informations sur l'internaute et son comportement.
cryptographie [CyberDico ANSSI, 15 juillet 2024]
cryptographie [CyberDico ANSSI, 15 juillet 2024] : La cryptographie permet la transformation, au moyen d’un algorithme de chiffrement, d’un message clair en un message chiffré dans le but d’assurer la disponibilité, la confidentialité et l’intégrité des données échangées. Deux interlocuteurs peuvent ainsi échanger de manière confidentielle et sécurisée, pourvu qu’ils possèdent la clé leur permettant de chiffrer et/ou de déchiffrer leurs messages. La cryptographie sert aussi d’autres applications telles que l’authentification et la signature (numérique) des messages, ayant toutes pour finalité – chiffrement compris – le traitement, le stockage ou la transmission sécurisée de données.
blockchain [CyberDico ANSSI, 15 juillet 2024]
blockchain [CyberDico ANSSI, 15 juillet 2024] : Véritable registre de comptes numériques reposant sur la confiance, la chaîne de blocs (blockchain), permet une gestion collaborative et sans intermédiaire (État, banque, notaire, etc.) des transactions qui s’opèrent entre différents acteurs. Cette technologie repose sur un procédé cryptographique qui assemble ces transactions pour former des « blocs» qui, une fois validés par ce même procédé, sont ajoutés à la chaîne de blocs à laquelle ont accès les utilisateurs. On compte parmi ces transactions l’échange de cybermonnaie (ou monnaie cryptographique) comme le bitcoin auquel on doit la popularisation de la Blockchain.
big data [CyberDico ANSSI, 15 juillet 2024]
big data [CyberDico ANSSI, 15 juillet 2024] : données structurées ou non dont le très grand volume requiert des outils d'analyse adaptés.
spam [CyberDico ANSSI, 15 juillet 2024]
spam [CyberDico ANSSI, 15 juillet 2024] : Tout courrier électronique non sollicité par le destinataire. Le courrier est souvent envoyé simultanément à un très grand nombre d’adresses électroniques. Les produits les plus vantés sont les services pornographiques, la spéculation boursière, des médicaments, le crédit financier etc.
rootkit [CyberDico ANSSI, 15 juillet 2024]
rootkit [CyberDico ANSSI, 15 juillet 2024] : Tout programme ou ensemble de programmes permettant à une personne de maintenir un contrôle illégitime du système d'information en y dissimulant ses activités. L'installation de ces programmes nécessite que le système soit préalablement compromis.
produit de sécurité [CyberDico ANSSI, 15 juillet 2024]
produit de sécurité [CyberDico ANSSI, 15 juillet 2024] : Dispositif matériel ou logiciel conçu pour protéger la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que les systèmes d’information offrent ou qu’ils rendent accessibles.
polymorphe [CyberDico ANSSI, 15 juillet 2024]
polymorphe [CyberDico ANSSI, 15 juillet 2024] : se dit d’un ver ou d’un virus dont le code est chiffré, changeant le code de déchiffrement d’une infection à l’autre, et donc l’apparence et/ou la signature.
point d'eau [CyberDico ANSSI, 15 juillet 2024]
point d'eau (attaque par) [CyberDico ANSSI, 15 juillet 2024] : Ce type d’attaque est destiné à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée. La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant. Les cas sont nombreux de sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres, et permettre ainsi d’accéder aux réseaux les plus sensibles de ceux-ci. Les secteurs les plus stratégiques sont évidemment les plus ciblés.
plan de rémédiation [CyberDico ANSSI, 15 juillet 2024]
plan de rémédiation [CyberDico ANSSI, 15 juillet 2024] : Plan visant à la reconstruction d'un SI à la suite d'une attaque.
PCA [CyberDico ANSSI, 15 juillet 2024]
PCA (Plan de Continuité d'Activité) [CyberDico ANSSI, 15 juillet 2024] : Ensemble de procédures documentées servant de guides aux entités pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la suite d’une perturbation.
pare-feu [CyberDico ANSSI, 15 juillet 2024]
pare-feu [CyberDico ANSSI, 15 juillet 2024] : Un pare-feu (ou garde barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.
phishing [CyberDico ANSSI, 15 juillet 2024]
phishing [CyberDico ANSSI, 15 juillet 2024] : Vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime. Les sites sont reproduits, après avoir été aspirés. L’utilisateur est souvent invité à visiter le site frauduleux par un courrier électronique.
pirate informatique [CyberDico ANSSI, 15 juillet 2024]
pirate informatique [CyberDico ANSSI, 15 juillet 2024] : On appelle communément pirate l’auteur d’une attaque informatique
nomadisme numérique [CyberDico ANSSI, 15 juillet 2024]
nomadisme numérique [CyberDico ANSSI, 15 juillet 2024] : Le nomadisme numérique désigne toute forme d’utilisation des technologies de l’information permettant à un utilisateur d’accéder au SI de son entité d’appartenance ou d’emploi, depuis des lieux distants, ces lieux n’étant pas maîtrisés par l’entité.
noyau [CyberDico ANSSI, 15 juillet 2024]
noyau (noyau de système d'exploitation) [CyberDico ANSSI, 15 juillet 2024] : Une des parties fondamentales de certains systèmes d'exploitation. Il gère les ressources de l'ordinateur et permet aux différents composants (matériels et logiciels) de communiquer entre eux
qualification [CyberDico ANSSI, 15 juillet 2024]
qualification [CyberDico ANSSI, 15 juillet 2024] : Son objectif est de s’assurer qu’un produit de sécurité (matériel ou logiciel) ou qu’un prestataire de services de confiance répond aux besoins de l’administration.
règle de détection [CyberDico ANSSI, 15 juillet 2024]
règle de détection [CyberDico ANSSI, 15 juillet 2024] : Une règle de détection est une combinaison de symptômes observables au niveau d'une source de données, dont la survenue est caractéristique d'une activité suspecte ou malveillante. Selon la méthode de détection et le niveau de sophistication de la règle de détection utilisée pour caractériser les événements malveillants, on parle également de marqueur, de signature d'attaque, ou de règle comportementale.
réseau d'anonymisation [CyberDico ANSSI, 15 juillet 2024]
réseau d'anonymisation [CyberDico ANSSI, 15 juillet 2024] : Réseau de machines compromises communiquant entre elles, utilisées par un groupe d’attaquants afin de rendre ses opérations plus furtives.
voix sur réseau IP [CyberDico ANSSI, 15 juillet 2024]
voix sur réseau IP [CyberDico ANSSI, 15 juillet 2024] : Technologie qui permet de véhiculer la voix de l’Internet ou tout autre réseau acceptant le protocole TCP/IP. Cette technologie est notamment utilisée par le service téléphonie IP (ToIP- telephony over internet protocol) à travers des logiciels.
typosquatting [CyberDico ANSSI, 15 juillet 2024]
typosquatting [CyberDico ANSSI, 15 juillet 2024] : action malveillante qui consiste à déposer un nom de domaine très proche d’un autre nom de domaine, dont seuls un ou deux caractères diffèrent.
usurpation d'adresse [CyberDico ANSSI, 15 juillet 2024]
usurpation d'adresse [CyberDico ANSSI, 15 juillet 2024] : action malveillante qui consiste à utiliser délibérément l'adresse d'un autre système en lieu et place de la sienne.
Usurpation de carte SIM [CyberDico ANSSI, 15 juillet 2024]
Usurpation de carte SIM [CyberDico ANSSI, 15 juillet 2024] : Technique permettant à un attaquant de contourner la double authentification pour associer une carte SIM de la victime au numéro de téléphone d'un attaquant.
Actes de cybermalveillance [CyberDico ANSSI, 15 juillet 2024]
actes de cybermalveillance [CyberDico ANSSI, 15 juillet 2024] : une cybermalveillance représente toute infraction commise par voie numérique. Il peut s’agir de phishing ou hameçonnage, de piratage d’un compte ou d’un équipement, d’usurpation d’identité, d’attaque par rançongiciel, etc.
adware [CyberDico ANSSI, 15 juillet 2024]
adware [CyberDico ANSSI, 15 juillet 2024] : Code ayant pour finalité d'afficher des bandeaux publicitaires par le biais du navigateur Internet de l'utilisateur. Remarque : Ce code est très souvent perçu comme une méthode envahissante. Il engendre dans de nombreux cas d’autres effets sur le système, comme l’apparition de fenêtres surgissantes (popups), la dégradation de la bande passante ou de la performance de la machine de l’utilisateur.
analyse du risque numérique [CyberDico ANSSI, 15 juillet 2024]
analyse du risque numérique [CyberDico ANSSI, 15 juillet 2024] : L‘analyse de risque vise à apprécier les risques numériques qui pèsent sur une organisation - qu’elle soit publique ou privée - et à identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. L’ANSSI, avec le soutien du Club EBIOS, publie une méthode dédiée à cet exercice : EBIOS Risk Manager.
authenticité [CyberDico ANSSI, 15 juillet 2024]
authenticité [CyberDico ANSSI, 15 juillet 2024] : L’information est attribuée à son auteur légitime.
authentification [CyberDico ANSSI, 15 juillet 2024]
authentification [CyberDico ANSSI, 15 juillet 2024] : L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.
back-office [CyberDico ANSSI, 15 juillet 2024]
back-office [CyberDico ANSSI, 15 juillet 2024] : Support informatique et logistique d'un ou plusieurs guichets.
botnet [CyberDico ANSSI, 15 juillet 2024]
botnet [CyberDico ANSSI, 15 juillet 2024] : Réseau de machines distinctes (ordinateurs ou téléphones intelligents) utilisé à des fins malveillantes (attaques DDoS, campagnes de pourriels, diffusion de programmes malveillants) et souvent à l'insu de leurs utilisateurs légitimes
Capacités de détection [CyberDico ANSSI, 15 juillet 2024]
Capacités de détection [CyberDico ANSSI, 15 juillet 2024] : Capacité de supervision de la sécurité global et maîtrisé. Pour faire de la détection, les experts de se basent sur leur expertise de la menace stratégique et sur leur connaissance des techniques d’attaque de masse. Les experts cherchent ainsi à détecter des marqueurs techniques propres à certains attaquants, tels que l’adresse IP d’un serveur malveillant ou le nom d’un site Internet piégé.
chiffrement [CyberDico ANSSI, 15 juillet 2024]
chiffrement [CyberDico ANSSI, 15 juillet 2024] : Transformation cryptographique de données produisant un cryptogramme.
confiance numérique [CyberDico ANSSI, 15 juillet 2024]
confiance numérique [CyberDico ANSSI, 15 juillet 2024] : La transformation numérique de la société amène à un développement massif des échanges par voie dématérialisée, mettant en exergue le besoin d’un cyberespace de confiance à même de garantir la sécurité de ces échanges, en assurant notamment la fiabilité des informations transmises, l’innocuité des services utilisés et plus largement le respect de la vie privée des citoyens
cryptomonnaie [CyberDico ANSSI, 15 juillet 2024]
cryptomonnaie [CyberDico ANSSI, 15 juillet 2024] : Le terme cybermonnaie désigne une monnaie virtuelle qui permet aux usagers d’échanger de l’argent de façon anonyme et sans intermédiaire. Son fonctionnement repose un registre de comptes numériques – la blockchain – qui valide les transactions et émet la devise selon des principes cryptographiques. Plusieurs cybermonnaies sont aujourd’hui en circulation parmi lesquelles la plus connue : le bitcoin.
ingénierie sociale [CyberDico ANSSI, 15 juillet 2024]
ingénierie sociale [CyberDico ANSSI, 15 juillet 2024] : Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Remarque : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information.
injection de code indirecte [CyberDico ANSSI, 15 juillet 2024]
injection de code indirecte [CyberDico ANSSI, 15 juillet 2024] : Activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l’utilisateur vers d’autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc.) ou des droits.
intégrité [CyberDico ANSSI, 15 juillet 2024]
intégrité [CyberDico ANSSI, 15 juillet 2024] : Garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime.
intrusion [CyberDico ANSSI, 15 juillet 2024]
intrusion [CyberDico ANSSI, 15 juillet 2024] : L’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.
levée de doute [CyberDico ANSSI, 15 juillet 2024]
levée de doute [CyberDico ANSSI, 15 juillet 2024] : Ensemble d'actions de vérification effectué pour confirmer ou infirmer une alerte ou un signalement de sécurité informatique.
menace numérique [CyberDico ANSSI, 15 juillet 2024]
menace numérique [CyberDico ANSSI, 15 juillet 2024] : Terme générique utilisé pour désigner toute intention hostile de nuire dans le cyber espace. Une menace peut être ciblée ou non sur l’objet de l’étude.
mot de passe [CyberDico ANSSI, 15 juillet 2024]
mot de passe [CyberDico ANSSI, 15 juillet 2024] : Un mot de passe est un élément de déverrouillage servant dans la vérification de l’identité annoncée d’une personne par un système d’information.
mouchard internet [CyberDico ANSSI, 15 juillet 2024]
mouchard internet [CyberDico ANSSI, 15 juillet 2024] : Support graphique implanté dans une page internet ou un courriel, qui a pour objectif de surveiller la consultation de cette page ou de ce courriel, à l’insu des lecteurs. Remarque : ces supports sont souvent invisibles, car beaucoup sont paramétrés avec une taille très petite (1X1 pixel). Ils sont aussi fréquemment représentés par des balises HTML IMG.
prestataire de sécurité [CyberDico ANSSI, 15 juillet 2024]
prestataire de sécurité (MSSP : Managed Security Service Provider) [CyberDico ANSSI, 15 juillet 2024] : entité proposant une offre de service de sécurité des systèmes d’information conforme au référentiel.
reconstruction [CyberDico ANSSI, 15 juillet 2024]
reconstruction [CyberDico ANSSI, 15 juillet 2024] : La reconstruction est une activité support à la remédiation ayant pour objectif de lui fournir les moyens informatiques nécessaires à la remise en fonction et en conditions de sécurité du système d’information.
renifleur [CyberDico ANSSI, 15 juillet 2024]
renifleur (sniffer) [CyberDico ANSSI, 15 juillet 2024] : Outil matériel ou logiciel dont l’objet est de capturer les trames transitant sur le réseau. Remarque : Si les trames contiennent des données non chiffrées, un utilisateur malveillant peut aisément récupérer des données confidentielles, comme des mots de passe, des courriers électroniques, des contenus de pages internet, etc. L’utilisateur malveillant peut aussi, à partir des trames, récupérer des informations sur les systèmes échangeant les trames, comme le système d’exploitation ou les services employés.
shadow IT [CyberDico ANSSI, 15 juillet 2024]
shadow IT [CyberDico ANSSI, 15 juillet 2024] : Désigne des SI réalisés et mis en œuvre au sein d'organisations sans l'approbation de la DSI.
signalement [CyberDico ANSSI, 15 juillet 2024]
signalement [CyberDico ANSSI, 15 juillet 2024] : Dans la taxonomie de l’ANSSI, un signalement est un événement de sécurité d’origine cyber avec un impact pour le SI de la victime bas (ex : hammeçonage), requérant une intervention minimum de l’Agence.
système de détection d'intrusion [CyberDico ANSSI, 15 juillet 2024]
système de détection d'intrusion [CyberDico ANSSI, 15 juillet 2024] : Un système de détection d'intrusion (Intrusion Detection System - IDS) est un dispositif logiciel ou matériel dont le rôle est de capter, puis d'analyser, l'activité d'un système numérique, dans le but de détecter les attaques ou les signes de compromission dont ce dernier est la cible. Un IDS se caractérise par la source de donnée utilisée pour capter l'activité d'un système (réseau, système, applicative) et par la méthode de détection employée pour distinguer les activités malveillantes des activités légitimes.
man in the cloud [CyberDico ANSSI, 15 juillet 2024]
man in the cloud [CyberDico ANSSI, 15 juillet 2024] : Attaque donnant un accès distant au réseau via les espaces en nuage, permettant d'exfiltrer des données et d'exécuter des commandes arbitraires.
keylogger [CyberDico ANSSI, 15 juillet 2024]
keylogger [CyberDico ANSSI, 15 juillet 2024] : Logiciel ou matériel employé par un utilisateur malveillant pour capturer ce qu'une personne frappe au clavier.
infogérance [CyberDico ANSSI, 15 juillet 2024]
infogérance [CyberDico ANSSI, 15 juillet 2024] : Prise en charge contractuelle, par un prestataire extérieur, d'une partie ou de la totalité des ressources informatiques d'une entreprise.
cloud computing [CyberDico ANSSI, 15 juillet 2024]
cloud computing (informatique en nuage) [CyberDico ANSSI, 15 juillet 2024] : modèle permettant l’accès, généralement à la demande et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.
man-in-the-middle [CyberDico ANSSI, 15 juillet 2024]
man-in-the-middle [CyberDico ANSSI, 15 juillet 2024] : Catégorie d’attaque où une personne malveillante s’interpose dans un échange de manière transparente pour les utilisateurs ou les systèmes. Remarque : La connexion est maintenue, soit en substituant les éléments transférés, soit en les réinjectant. Une attaque connue dans cette catégorie repose sur une compromission des tables ARP (ARP Poisoning). Contrer les attaques par le milieu est aussi l’un des objectifs des infrastructures de gestion de clés.
marqueur de compromission [CyberDico ANSSI, 15 juillet 2024]
marqueur de compromission [CyberDico ANSSI, 15 juillet 2024] : Information technique, telle que l’adresse IP d’un serveur malveillant ou le nom d’un site Internet piégé, permettant de détecter et de caractériser une attaque. Le partage de ces éléments de connaissance permet notamment d'empêcher des compromissions futures. En revanche, de telles informations ne doivent parfois pas être communiquées si l’attaque a été judiciarisée.
Attaque par saisie d’authentifiants volés [CyberDico ANSSI, 15 juillet 2024]
Attaque par saisie d’authentifiants volés (credential stuffing) [CyberDico ANSSI, 15 juillet 2024] : Type d'attaque par force brute exploitant des authentifiants précédemment exposés.
boot [CyberDico ANSSI, 15 juillet 2024]
boot [CyberDico ANSSI, 15 juillet 2024] : Processus de démarrage (ou redémarrage) d’un ordinateur via un matériel (par exemple, le bouton de démarrage sur l’ordinateur) ou via une commande logicielle.
bootkit [CyberDico ANSSI, 15 juillet 2024]
bootkit [CyberDico ANSSI, 15 juillet 2024] : maliciel qui infecte le processus de démarrage du système d’exploitation et permet ainsi d’en prendre le contrôle.
box [CyberDico ANSSI, 15 juillet 2024]
box [CyberDico ANSSI, 15 juillet 2024] : appareil permettant d'accéder, à partir de terminaux, à plusieurs services de communication (Internet, téléphonie, télévision et stockage).
bug [CyberDico ANSSI, 15 juillet 2024]
bug [CyberDico ANSSI, 15 juillet 2024] : défaut de conception ou de réalisation se manifestant par des anomalies de fonctionnement.
cheval de Troie [CyberDico ANSSI, 15 juillet 2024]
cheval de Troie [CyberDico ANSSI, 15 juillet 2024] : programme donnant l’impression d’avoir une fonction utile, mais qui possède par ailleurs une fonction cachée et potentiellement malveillante.
chiffrement asymétrique [CyberDico ANSSI, 15 juillet 2024]
chiffrement asymétrique [CyberDico ANSSI, 15 juillet 2024] : le chiffrement asymétrique est un protocole de cryptographie qui utilise deux clés distinctes.
chiffrement symétrique [CyberDico ANSSI, 15 juillet 2024]
chiffrement symétrique [CyberDico ANSSI, 15 juillet 2024] : Le chiffrement symétrique permet à la fois de chiffrer et de déchiffrer des messages à l'aide d'un même mot clé.
code malveillant [CyberDico ANSSI, 15 juillet 2024]
code malveillant [CyberDico ANSSI, 15 juillet 2024] : tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Maliciel/logiciel malveillant
cloud [CyberDico ANSSI, 15 juillet 2024]
cloud [CyberDico ANSSI, 15 juillet 2024] : modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.
exploit [CyberDico ANSSI, 15 juillet 2024]
exploit (code d'exploitation) [CyberDico ANSSI, 15 juillet 2024] : tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) à des fins malveillantes.
code d'exploitation [CyberDico ANSSI, 15 juillet 2024]
code d'exploitation (exploit) [CyberDico ANSSI, 15 juillet 2024] : tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) à des fins malveillantes.
certification [CyberDico ANSSI, 15 juillet 2024]
certification [CyberDico ANSSI, 15 juillet 2024] : La certification est l’attestation de la robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.
cartographie du risque [CyberDico ANSSI, 15 juillet 2024]
cartographie du risque [CyberDico ANSSI, 15 juillet 2024] : Représentation visuelle (exemple : radar, diagramme de Farmer) des risques issus des activités d’appréciation du risque.
canal caché [CyberDico ANSSI, 15 juillet 2024]
canal caché [CyberDico ANSSI, 15 juillet 2024] : Canal de communication qui permet à un processus malveillant de transférer des informations d'une manière dissimulée. Le canal assure une communication par l'exploitation d'un mécanisme qui n'est pas censé servir à la communication.
canular [CyberDico ANSSI, 15 juillet 2024]
canular [CyberDico ANSSI, 15 juillet 2024] : Information vraie ou fausse, souvent transmise par messagerie électronique ou dans un forum, et incitant les destinataires à effectuer des opérations ou à prendre des initiatives, souvent dommageables.
accès de proximité [CyberDico ANSSI, 15 juillet 2024]
accès de proximité [CyberDico ANSSI, 15 juillet 2024] : englobe les attaques par wifi, ondes.
accès local [CyberDico ANSSI, 15 juillet 2024]
accès local [CyberDico ANSSI, 15 juillet 2024] : attaques avec accès physique au réseau.
ANSSI [CyberDico ANSSI, 15 juillet 2024]
ANSSI [CyberDico ANSSI, 15 juillet 2024] : L’ANSSI est l’autorité nationale en matière de cybersécurité et de cyberdéfense. Son action vise à construire et organiser la protection de la Nation face aux cyberattaques. Rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), l’Agence est un service du Premier ministre, dont les activités sont exclusivement défensives
assistance capacitaire [CyberDico ANSSI, 15 juillet 2024]
assistance capacitaire [CyberDico ANSSI, 15 juillet 2024] : Développement capacitaire, renforcement capacitaire.
bombardement de courriels [CyberDico ANSSI, 15 juillet 2024]
bombardement de courriels [CyberDico ANSSI, 15 juillet 2024] : envoi d’une grande quantité de courriels à un destinataire unique dans une intention malveillante. Forme particulière de déni de service contre les systèmes de courriers électroniques.
bombe programmée [CyberDico ANSSI, 15 juillet 2024]
bombe programmée (ou bombe logique) [CyberDico ANSSI, 15 juillet 2024] : logiciel malveillant conçu pour causer des dommages à un système informatique et qui est déclenché lorsque certaines conditions sont réunies. Certains virus contiennent une fonction de bombe logique : déclenchement à date fixe, ou quand une adresse réticulaire (URL) particulière est renseignée dans le navigateur.
BYOD [CyberDico ANSSI, 15 juillet 2024]
BYOD (Bring Your Own Device) [CyberDico ANSSI, 15 juillet 2024] : Se dit de l'utilisation dans un cadre professionnel, d'un matériel personnel comme un téléphone intelligent ou un ordinateur.
Cross-Site Request Forgery [CyberDico ANSSI, 15 juillet 2024]
Cross-Site Request Forgery (CSRF) [CyberDico ANSSI, 15 juillet 2024] : Attaque provoquant l'envoi de requêtes, par la victime, vers un site vulnérable, à son insu et en son nom. (injection de requêtes illégitimes par rebond)
cryptanalyse [CyberDico ANSSI, 15 juillet 2024]
cryptanalyse [CyberDico ANSSI, 15 juillet 2024] : processus de déchiffrement de données protégées au moyen de cryptographie sans être en possession des clés de chiffrement.
cryptologie [CyberDico ANSSI, 15 juillet 2024]
cryptologie [CyberDico ANSSI, 15 juillet 2024] : science englobant la cryptographie et la cryptanalyse.
cybercriminalité [CyberDico ANSSI, 15 juillet 2024]
cybercriminalité [CyberDico ANSSI, 15 juillet 2024] : actes contrevenants aux traités internationaux ou aux lois nationales, utilisant les réseaux ou les systèmes d’information comme moyens de réalisation d’un délit ou d’un crime, ou les ayant pour cible.
cyberespace [CyberDico ANSSI, 15 juillet 2024]
cyberespace [CyberDico ANSSI, 15 juillet 2024] : espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.
cybersaquatting [CyberDico ANSSI, 15 juillet 2024]
cybersaquatting [CyberDico ANSSI, 15 juillet 2024] : Enregistrer un nom de domaine dans le seul but de bloquer toute attribution ultérieure de ce nom au profit de titulaires plus naturels ou légitimes.
deep web [CyberDico ANSSI, 15 juillet 2024]
deep web [CyberDico ANSSI, 15 juillet 2024] : Internet inaccessible au moteur de recherche.
débridage système [CyberDico ANSSI, 15 juillet 2024]
débridage système [CyberDico ANSSI, 15 juillet 2024] : action de contourner les protections d'un système pour supprimer les restrictions d'utilisation mises en place par le constructeur.
darknet [CyberDico ANSSI, 15 juillet 2024]
darknet (ou drag web) [CyberDico ANSSI, 15 juillet 2024] : Internet qui nécessite l'utilisation d'un protocole particulier (chiffrement, proxy etc).
dark web [CyberDico ANSSI, 15 juillet 2024]
dark web (ou darknet) [CyberDico ANSSI, 15 juillet 2024] : Internet qui nécessite l'utilisation d'un protocole particulier (chiffrement, proxy etc).
défiguration [CyberDico ANSSI, 15 juillet 2024]
défiguration (ou barbouillage) [CyberDico ANSSI, 15 juillet 2024] : Altération par un attaquant de l’apparence ou du contenu d’un site Internet. L’attaquant peut faire figurer des informations, des slogans ou des images sans lien avec l’objet du site attaqué. Les attaques par défiguration sont souvent menées à des fins de déstabilisation. Des hacktivistes peuvent y avoir recours.
barbouillage [CyberDico ANSSI, 15 juillet 2024]
barbouillage (ou défiguration) [CyberDico ANSSI, 15 juillet 2024] : Altération par un attaquant de l’apparence ou du contenu d’un site Internet. L’attaquant peut faire figurer des informations, des slogans ou des images sans lien avec l’objet du site attaqué. Les attaques par défiguration sont souvent menées à des fins de déstabilisation. Des hacktivistes peuvent y avoir recours.
déni de service [CyberDico ANSSI, 15 juillet 2024]
déni de service [CyberDico ANSSI, 15 juillet 2024] : DDoS est souvent utilisé en français. Action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu.
Dépassement ou débordement de mémoire [CyberDico ANSSI, 15 juillet 2024]
Dépassement ou débordement de mémoire [CyberDico ANSSI, 15 juillet 2024] : Technique d’exploitation d’une vulnérabilité dans le code d’un programme qui ne vérifie pas correctement la taille de certaines données qu’il manipule.
détection d'attaques [CyberDico ANSSI, 15 juillet 2024]
détection d'attaques [CyberDico ANSSI, 15 juillet 2024] : Service de supervision de la sécurité global et maîtrisé. Recherche de marqueurs techniques propres à certains attaquants, tels que l’adresse IP d’un serveur malveillant ou le nom d’un site Internet piégé.
DNSSEC [CyberDico ANSSI, 15 juillet 2024]
DNSSEC [CyberDico ANSSI, 15 juillet 2024] : Extension pour la sécurité du protocole DNS
évènements de sécurité [CyberDico ANSSI, 15 juillet 2024]
évènements de sécurité [CyberDico ANSSI, 15 juillet 2024] : évènements portés à la connaissance de l’ANSSI et qui ont donné lieu à un traitement par les équipes opérationnelles.
faux positif [CyberDico ANSSI, 15 juillet 2024]
faux positif [CyberDico ANSSI, 15 juillet 2024] : Qualification erronée d'un évènement en tant qu'évènement de sécurité d’origine cyber.
hacktiviste [CyberDico ANSSI, 15 juillet 2024]
hacktiviste [CyberDico ANSSI, 15 juillet 2024] : Individus ayant pour ’objectif de véhiculer des messages et idéologies en ayant recours à différentes cyberattaques pour amplifier l’écho de leur action.
Iframe [CyberDico ANSSI, 15 juillet 2024]
Iframe [CyberDico ANSSI, 15 juillet 2024] : L'iframe ou inline frame est une balise HTML utilisée pour insérer un document HTML dans une page HTML.
incident majeur [CyberDico ANSSI, 15 juillet 2024]
incident majeur [CyberDico ANSSI, 15 juillet 2024] : Dans la taxonomie de l’ANSSI, un incident majeur est un incident dont la gravité et l’impact nécessite une intervention importante de l’ANSSI.
indicateur de compromission [CyberDico ANSSI, 15 juillet 2024]
indicateur de compromission (IOC) ou marqueur technique [CyberDico ANSSI, 15 juillet 2024] : Information technique, telle que l’adresse IP d’un serveur malveillant ou le nom d’un site Internet piégé, permettant de détecter et de caractériser une attaque. Le partage de ces éléments de connaissance permet notamment d'empêcher des compromissions futures. En revanche, de telles informations ne doivent parfois pas être communiquées si l’attaque a été judiciarisée.
marqueur technique [CyberDico ANSSI, 15 juillet 2024]
marqueur technique (indicateur de compromission - IOC) [CyberDico ANSSI, 15 juillet 2024] : Information technique, telle que l’adresse IP d’un serveur malveillant ou le nom d’un site Internet piégé, permettant de détecter et de caractériser une attaque. Le partage de ces éléments de connaissance permet notamment d'empêcher des compromissions futures. En revanche, de telles informations ne doivent parfois pas être communiquées si l’attaque a été judiciarisée.
infrastructures de clés publiques (ICP) [CyberDico ANSSI, 15 juillet 2024]
infrastructures de clés publiques (ICP) [CyberDico ANSSI, 15 juillet 2024] : Outil cryptographique permettant de garantir l’authenticité des clés publiques par la signature électronique d’autorités de certification organisées de façon hiérarchique. Une ICP est l’un des outils fondamentaux d’une IGC.
Infrastructure de gestion de clés (IGC) [CyberDico ANSSI, 15 juillet 2024]
Infrastructure de gestion de clés (IGC) [CyberDico ANSSI, 15 juillet 2024] : Ensemble organisé de composantes fournissant des services de gestion des clés cryptographiques et des certificats de clés publiques au profit d’une communauté d’utilisateurs.
Logiciel de contrôle parental ou de filtrage [CyberDico ANSSI, 15 juillet 2024]
logiciel de contrôle parental ou de filtrage [CyberDico ANSSI, 15 juillet 2024] : Il s’agit de systèmes de protection qui s’installent sur un ordinateur et qui permettent notamment de bloquer l’accès aux sites inappropriés aux plus jeunes. Certains permettent également de paramétrer l’accès à l’internet (plages horaires, durée, applications…). Tout ordinateur personnel utilisé par un mineur devrait en être équipé (voir résultats du comparatif des principaux logiciels existants sur le marché).
Mode opératoire d’attaque, d’un attaquant (MOA) ou d’un groupe d’attaquants [CyberDico ANSSI, 15 juillet 2024]
mode opératoire d’attaque, d’un attaquant (MOA) ou d’un groupe d’attaquants [CyberDico ANSSI, 15 juillet 2024] : signature de l’attaquant, sa façon d’opérer pour cibler et attaquer ses victimes.
Modèle français de cybersécurité [CyberDico ANSSI, 15 juillet 2024]
Modèle français de cybersécurité [CyberDico ANSSI, 15 juillet 2024] : Le modèle français de cybersécurité et de cyberdéfense repose sur une séparation claire, au sein de l’État, entre les missions défensives et offensives.
moisson de courriels [CyberDico ANSSI, 15 juillet 2024]
moisson de courriels [CyberDico ANSSI, 15 juillet 2024] : Action qui consiste à parcourir un grand nombre de ressources publiques (pages internet, groupes de discussion, etc.), afin d’y collecter les adresses électroniques avec des intentions malveillantes. Remarque : Les adresses récupérées sont utilisées, par exemple, pour envoyer des courriels contenant des virus, des canulars ou des pourriels. Une méthode pour s’en prémunir est de présenter sur ces ressources publiques une adresse électronique qui trompe les outils de recherche (comme prenom.nom_AT_domain.fr pour les outils cherchant ’@’, caractéristique d’une adresse) ; ceci est appelé address munging.
numéroteur [CyberDico ANSSI, 15 juillet 2024]
numéroteur [CyberDico ANSSI, 15 juillet 2024] : Logiciel qui compose automatiquement des numéros de téléphone. Remarque : les numéroteurs sont souvent proposés pour accéder à des sites à caractères pornographique (appels surtaxés). Par extension, un war dialer est une application composant une liste de numéros, et qui enregistre ceux retournant une tonalité spéciale, comme un modem ou un fax.
numérisation [CyberDico ANSSI, 15 juillet 2024]
numérisation [CyberDico ANSSI, 15 juillet 2024] : d’un document, de données analogiques.
opérateur de service essentiel (OSE) [CyberDico ANSSI, 15 juillet 2024]
opérateur de service essentiel (OSE) [CyberDico ANSSI, 15 juillet 2024] : Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.
Opérateur d’importance vitale (OIV) [CyberDico ANSSI, 15 juillet 2024]
Opérateur d’importance vitale (OIV) [CyberDico ANSSI, 15 juillet 2024] : Un opérateur d'importance vitale (OIV) est, en France, une organisation identifiée par l'État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population.
Opération de cyberdéfense [CyberDico ANSSI, 15 juillet 2024]
opération de cyberdéfense [CyberDico ANSSI, 15 juillet 2024] : Dans la taxonomie de l’ANSSI, une opération de cyberdéfense constitue le niveau maximal d’engagement de l’Agence dans le traitement d’un événement de sécurité. Cet engagement est réservé aux événements dont la gravité et la complexité sont significatives.
password spraying [CyberDico ANSSI, 15 juillet 2024]
password spraying [CyberDico ANSSI, 15 juillet 2024] : Fait de tenter l'ouverture de plusieurs comptes avec un seul mot de passe, souvent très utilisé.
peer-to-peer [CyberDico ANSSI, 15 juillet 2024]
peer-to-peer (P2P) [CyberDico ANSSI, 15 juillet 2024] : réseau où chaque entité est à la fois client et serveur. Réseau d’échange et de partage de fichiers de particulier à particulier.
rançongiciel [CyberDico ANSSI, 15 juillet 2024]
rançongiciel [CyberDico ANSSI, 15 juillet 2024] : Programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Les rançongiciels figurent au catalogue des outils auxquels ont recours les cybercriminels motivés par l’appât du gain. Lors d’une attaque par rançongiciel, l’attaquant met l’ordinateur ou le système d’information de la victime hors d’état de fonctionner de manière réversible. L’attaquant adresse alors un message non chiffré à la victime où il lui propose, contre le paiement d’une rançon, de lui fournir le moyen de déchiffrer ses données.
référentiel d'exigences [CyberDico ANSSI, 15 juillet 2024]
référentiel d'exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans un domaine.
référentiel général de sécurité (RGS) [CyberDico ANSSI, 15 juillet 2024]
référentiel général de sécurité (RGS) [CyberDico ANSSI, 15 juillet 2024] : Ensemble des règles établies par l’ANSSI et prévues par l’ordonnance no 2005-1516 du 8 décembre 2005 « relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives » que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialité ou encore l’horodatage.
scanning [CyberDico ANSSI, 15 juillet 2024]
scanning [CyberDico ANSSI, 15 juillet 2024] : Technique servant à rechercher des appareils connectés spécifiques ainsi que des informations relatives à ceux-ci. Cette technique peut également servir à identifier la présence de vulnérabilités connues sur des systèmes exposés.
sécurité des systèmes d'information (SSI) [CyberDico ANSSI, 15 juillet 2024]
sécurité des systèmes d'information (SSI) [CyberDico ANSSI, 15 juillet 2024] : Ensemble des moyens techniques et non-techniques de protection permettant à un système d’information d’assurer la disponibilité, l’intégrité et la confidentialité des données, traitées ou transmises, et des services connexes que ces systèmes offrent ou rendent accessibles.
secteur d'activité d'importance vitale [CyberDico ANSSI, 15 juillet 2024]
secteur d'activité d'importance vitale [CyberDico ANSSI, 15 juillet 2024] : À la suite des attentats du 11 septembre 2001, la France a engagé une réflexion sur la notion d’infrastructure critique afin de moderniser la protection des points et des réseaux sensibles. Le décret du 23 février 2006 définit les activités d’importance vitale comme « un ensemble d’activités, essentielles et difficilement substituables ou remplaçables, concourant à un même objectif ou visant à produire et à distribuer des biens ou des services indispensables ». Douze secteurs d’activité d’importance vitale ont été définis dans un arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008, au sein desquels ont identifiés des Opérateurs d’importance vitale (OIV) chargés de la protection de leur Point d’importance vitale (PIV). Chaque secteur est rattaché à un ministère coordonnateur chargé du pilotage des travaux et des consultations.
Prestataires d'accompagnement et de conseil en sécurité des systèmes d’information (PACS) [CyberDico ANSSI, 15 juillet 2024]
Prestataires d'accompagnement et de conseil en sécurité des systèmes d’information (PACS) [CyberDico ANSSI, 15 juillet 2024] : Le référentiel PACS a pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information, et notamment d’homologation de sécurité, de gestion des risques, de conception d’architectures sécurisées, et de préparation à la gestion de crises d’origine cyber.
Prestataires d’administration et de maintenance sécurisées (PAMS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataires d’administration et de maintenance sécurisées (PAMS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestataires d’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations.
Prestataire d’audit de la sécurité des systèmes d'information (PASSI) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire d’audit de la sécurité des systèmes d'information (PASSI) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits. La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et physique.
Prestataire de détection d’incidents de sécurité (PDIS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire de détection d’incidents de sécurité (PDIS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents. La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité.
Prestataire de réponse aux incidents de sécurité (PRIS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire de réponse aux incidents de sécurité (PRIS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents. La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.
Prestataire de service informatique dans le nuage (SecNumCloud) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire de service informatique dans le nuage (SecNumCloud) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service).
Prestataire de service de confiance [qualifié] – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire de service de confiance [qualifié] – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Les référentiels d’exigences relatifs aux prestataires de services de confiance formalisent les règles applicables aux organismes désirant obtenir une qualification dans les domaines suivants : délivrance de certificats électroniques, horodatage électronique, validation des signatures et cachets électroniques, conservation des signatures et cachets électroniques, envoi recommandé électronique.
serveur racine [CyberDico ANSSI, 15 juillet 2024]
Serveur racine ou serveur de noms de la racine [CyberDico ANSSI, 15 juillet 2024] : La racine, en informatique, est le point de départ d’une arborescence. Il existe actuellement 13 serveurs de noms de la racine répartis dans le monde : ces serveurs hébergent les permettant le bon fonctionnement du Système d’adressage par domaines (DNS) et des services qui utilisent ce système : internet, courrier électronique…
Signalement d’incident [CyberDico ANSSI, 15 juillet 2024]
signalement d’incident (ou signalement d’événement de sécurité numérique) [CyberDico ANSSI, 15 juillet 2024] : On qualifie de signalement d’incident toute description détaillée des caractéristiques techniques d’un ou plusieurs événements de sécurité susceptibles de conduire à la découverte d’un incident de sécurité survenu sur le système d’information d’une organisation donnée.
Signalement d’événement de sécurité numérique [CyberDico ANSSI, 15 juillet 2024]
signalement d’événement de sécurité numérique (ou signalement d'incident) [CyberDico ANSSI, 15 juillet 2024] : On qualifie de signalement d’incident toute description détaillée des caractéristiques techniques d’un ou plusieurs événements de sécurité susceptibles de conduire à la découverte d’un incident de sécurité survenu sur le système d’information d’une organisation donnée.
System on chip (SoC) [CyberDico ANSSI, 15 juillet 2024]
System on chip (SoC) [CyberDico ANSSI, 15 juillet 2024] : Système complet embarqué sur une seule puce, pouvant comprendre, de la mémoire, un ou plusieurs microprocesseurs, des périphériques d'interface, etc…
service d'informatique en nuage [Loi "SREN" n°2024-449 du 21 mai 2014]
service d'informatique en nuage [Loi "SREN" n°2024-449 du 21 mai 2014] : un service numérique fourni à un client qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d'efforts de gestion ou d'interaction avec le fournisseur de services ;
avoir d'informatique en nuage [Loi "SREN" n°2024-449 du 21 mai 2014]
avoir d'informatique en nuage [Loi "SREN" n°2024-449 du 21 mai 2014] : un avantage octroyé par un fournisseur de services d'informatique en nuage à un client, défini au 3° du présent I, utilisable sur ses différents services, sous la forme d'un montant de crédits offerts ou d'une quantité de services offerts ;
client [Loi "SREN" n°2024-449 du 21 mai 2014]
client [Loi "SREN" n°2024-449 du 21 mai 2014] : une personne physique ou morale qui a noué une relation contractuelle avec un fournisseur de services d'informatique en nuage dans le but d'utiliser un ou plusieurs de ses services d'informatique en nuage ;
autopréférence [Loi "SREN" n°2024-449 du 21 mai 2014]
autopréférence [Loi "SREN" n°2024-449 du 21 mai 2014] : le fait, pour un fournisseur de services d'informatique en nuage qui fournit également des logiciels, de fournir un logiciel à un client par le biais des services d'un fournisseur de services d'informatique en nuage tiers dans des conditions tarifaires et fonctionnelles qui diffèrent sensiblement de celles dans lesquelles le fournisseur fournit ce même logiciel par le biais de son propre service d'informatique en nuage, lorsque ces différences de tarifs et de fonctionnalités ne sont pas justifiées.
frais de transfert de données [Loi "SREN" n°2024-449 du 21 mai 2014]
frais de transfert de données [Loi "SREN" n°2024-449 du 21 mai 2014] : les frais facturés par un fournisseur de services d'informatique en nuage à un client pour l'extraction, par un réseau, des données de ce client depuis l'infrastructure du fournisseur de services d'informatique en nuage vers les systèmes d'un autre fournisseur ou vers une infrastructure sur site.
frais de changement de fournisseur [Loi "SREN" n°2024-449 du 21 mai 2014]
frais de changement de fournisseur [Loi "SREN" n°2024-449 du 21 mai 2014] : les frais, autres que les frais de service standard ou les pénalités de résiliation anticipée, imposés par un fournisseur de services d'informatique en nuage à un client pour les actions réalisées pour changer de fournisseur en passant au système d'un fournisseur différent ou à une infrastructure sur site, y compris les frais de transfert des données.
actifs numériques [Loi "SREN" n°2024-449 du 21 mai 2014]
actifs numériques [Loi "SREN" n°2024-449 du 21 mai 2014] : tous les éléments au format numérique, y compris les applications, sur lesquels le client d'un service d'informatique en nuage a un droit d'utilisation, indépendamment de la relation contractuelle que le client a avec le service d'informatique en nuage qu'il a l'intention de quitter.
équivalence fonctionnelle [Loi "SREN" n°2024-449 du 21 mai 2014]
équivalence fonctionnelle [Loi "SREN" n°2024-449 du 21 mai 2014] : le rétablissement, sur la base des données exportables et des actifs numériques du client, d'un niveau minimal de fonctionnalité dans l'environnement d'un nouveau service d'informatique en nuage du même type de service après le changement de fournisseur, lorsque le service de destination fournit des résultats sensiblement comparables en réponse à la même entrée pour les fonctionnalités partagées fournies au client en application d'un accord contractuel.
données exportables [Loi "SREN" n°2024-449 du 21 mai 2014]
données exportables [Loi "SREN" n°2024-449 du 21 mai 2014] : les données d'entrée et de sortie, y compris les métadonnées, générées directement ou indirectement ou cogénérées par le client par l'utilisation du service d'informatique en nuage, à l'exclusion de tout actif ou des données du fournisseur de services d'informatique en nuage ou d'un tiers, lorsque cet actif ou ces données sont protégés au titre de la propriété intellectuelle ou du secret des affaires.
Produit comportant des éléments numériques [Règlement « CRA » 2024/2847 du 23 octobre 2024]
produit comportant des éléments numériques [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément ;
Logiciel [Règlement « CRA » 2024/2847 du 23 octobre 2024]
logiciel [Règlement « CRA » 2024/2847 du 23 octobre 2024] : la partie d’un système d’information électronique qui consiste en un code informatique ;
Matériel informatique [Règlement « CRA » 2024/2847 du 23 octobre 2024]
matériel informatique [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un système d’information électronique physique, ou des parties de celui-ci, capable de traiter, de stocker ou de transmettre des données numériques ;
Connexion logique [Règlement « CRA » 2024/2847 du 23 octobre 2024]
connexion logique [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une représentation virtuelle d’une connexion de données mise en œuvre au moyen d’une interface logicielle ;
Connexion physique [Règlement « CRA » 2024/2847 du 23 octobre 2024]
connexion physique [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une connexion entre des systèmes d’information électroniques ou des composants mis en œuvre par des moyens physiques, y compris par des interfaces électriques, optiques ou mécaniques, des fils ou des ondes radio ;
Fabricant [Règlement « CRA » 2024/2847 du 23 octobre 2024]
fabricant [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit ;
Composant [Règlement « CRA » 2024/2847 du 23 octobre 2024]
composant [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un logiciel ou du matériel destiné à être intégré dans un système d’information électronique ;
Système d'information électronique [Règlement « CRA » 2024/2847 du 23 octobre 2024]
Système d'information électronique [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques ;
Traitement de données à distance [Règlement « CRA » 2024/2847 du 23 octobre 2024]
traitement de données à distance [Règlement « CRA » 2024/2847 du 23 octobre 2024] : tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous la responsabilité de ce dernier, et dont l’absence empêcherait le produit comportant des éléments numériques d’exécuter une de ses fonctions ;
Mandataire [Règlement « CRA » 2024/2847 du 23 octobre 2024]
mandataire [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une personne physique ou morale établie dans l’Union ayant reçu mandat écrit du fabricant pour agir en son nom aux fins de l’accomplissement de tâches déterminées ;
Connexion indirecte [Règlement « CRA » 2024/2847 du 23 octobre 2024]
connexion indirecte [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une connexion à un dispositif ou à un réseau, qui n’est pas établie directement, mais plutôt dans le cadre d’un système plus vaste qui peut être directement connecté à ce dispositif ou à ce réseau ;
Point terminal [Règlement « CRA » 2024/2847 du 23 octobre 2024]
point terminal [Règlement « CRA » 2024/2847 du 23 octobre 2024] : tout dispositif connecté à un réseau et servant de point d’entrée à ce réseau ;
Opérateur économique [Règlement « CRA » 2024/2847 du 23 octobre 2024]
opérateur économique [Règlement « CRA » 2024/2847 du 23 octobre 2024] : le fabricant, le mandataire, l’importateur, le distributeur ou une autre personne physique ou morale soumise à des obligations liées à la fabrication de produits comportant des éléments numériques ou à la mise à disposition sur le marché de produits comportant des éléments numériques conformément au présent règlement;
Intendant de logiciels ouverts [Règlement « CRA » 2024/2847 du 23 octobre 2024]
intendant de logiciels ouverts [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits;
Importateur [Règlement « CRA » 2024/2847 du 23 octobre 2024]
importateur [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une personne physique ou morale établie dans l’Union qui met sur le marché un produit comportant des éléments numériques, lequel porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union ;
Distributeur [Règlement « CRA » 2024/2847 du 23 octobre 2024]
distributeur [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés ;
Consommateur [Règlement « CRA » 2024/2847 du 23 octobre 2024]
consommateur [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale ;
Marquage CE [Règlement « CRA » 2024/2847 du 23 octobre 2024]
marquage CE [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un marquage par lequel un fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I et toute autre législation d’harmonisation de l’Union applicable prévoyant son apposition ;
Modification substantielle [Règlement « CRA » 2024/2847 du 23 octobre 2024]
modification substantielle [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué ;
Mise sur le marché [Règlement « CRA » 2024/2847 du 23 octobre 2024]
mise sur le marché [Règlement « CRA » 2024/2847 du 23 octobre 2024] : la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union ;
Utilisation prévue [Règlement « CRA » 2024/2847 du 23 octobre 2024]
utilisation prévue [Règlement « CRA » 2024/2847 du 23 octobre 2024] : l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique ;
Mauvaise utilisation raisonnablement prévisible [Règlement « CRA » 2024/2847 du 23 octobre 2024]
mauvaise utilisation raisonnablement prévisible [Règlement « CRA » 2024/2847 du 23 octobre 2024] : l’utilisation d’un produit comportant des éléments numériques d’une manière qui n’est pas conforme à son utilisation prévue, mais qui peut résulter d’un comportement humain ou d’une interaction avec d’autres systèmes raisonnablement prévisibles ;
Période d'assistance [Règlement « CRA » 2024/2847 du 23 octobre 2024]
période d'assistance [Règlement « CRA » 2024/2847 du 23 octobre 2024] : la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;
Mise à disposition sur le marché [Règlement « CRA » 2024/2847 du 23 octobre 2024]
mise à disposition sur le marché [Règlement « CRA » 2024/2847 du 23 octobre 2024] : la fourniture d’un produit comportant des éléments numériques destiné à être distribué ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit ;
Utilisation raisonnablement prévisible [Règlement « CRA » 2024/2847 du 23 octobre 2024]
utilisation raisonnablement prévisible [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une utilisation qui n’est pas nécessairement celle qui est prévue par le fabricant et qui figure dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique, mais qui est susceptible de résulter d’un comportement humain, d’opérations techniques ou d’interactions raisonnablement prévisibles ;
risque de cybersécurité [Règlement « CRA » 2024/2847 du 23 octobre 2024]
risque de cybersécurité [Règlement « CRA » 2024/2847 du 23 octobre 2024] : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise ;
Risque de cybersécurité important [Règlement « CRA » 2024/2847 du 23 octobre 2024]
risque de cybersécurité important [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un risque de cybersécurité qui, en raison de ses caractéristiques techniques, peut être présumé hautement susceptible de donner lieu à un incident pouvant avoir des répercussions négatives graves, notamment en causant une perte ou une perturbation matérielle ou immatérielle considérable ;
Nomenclature de logiciels [Règlement « CRA » 2024/2847 du 23 octobre 2024]
nomenclature de logiciels [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un document officiel contenant les détails et les relations avec la chaîne d’approvisionnement des différents composants utilisés dans la fabrication d’un produit comportant des éléments numériques;
Vulnérabilité [Règlement « CRA » 2024/2847 du 23 octobre 2024]
vulnérabilité [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace ;
Vulnérabilité exploitable [Règlement « CRA » 2024/2847 du 23 octobre 2024]
vulnérabilité exploitable [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une vulnérabilité susceptible d’être utilisée efficacement par un adversaire en conditions de fonctionnement effectives ;
Vulnérabilité activement exploitée [Règlement « CRA » 2024/2847 du 23 octobre 2024]
vulnérabilité activement exploitée [Règlement « CRA » 2024/2847 du 23 octobre 2024] : une vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système ;
Incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques [Règlement « CRA » 2024/2847 du 23 octobre 2024]
incident ayant des répercussions sur la sécurité du produit comportant des éléments numériques [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un incident qui entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions ;
Logiciel libre et ouvert [Règlement « CRA » 2024/2847 du 23 octobre 2024]
logiciel libre et ouvert [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un logiciel dont le code source est partagé de manière ouverte et qui est mis à disposition sous licence libre et ouverte prévoyant tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable;