abonné [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : entité ayant besoin de faire horodater des données par une Autorité d'horodatage et qui a accepté les conditions d'utilisation de ses services.

accès [Directive UE "CCEE" n°2018/1972 du 11 décembre 2018] : la mise à la disposition d’une autre entreprise, dans des conditions bien définies et de manière exclusive ou non exclusive, de ressources ou de services en vue de la fourniture de services de communications électroniques, y compris lorsqu’ils servent à la fourniture de services de la société de l’information ou de services de contenu radiodiffusé; cela couvre entre autres: l’accès à des éléments de réseau et à des ressources associées, ce qui peut comprendre la connexion des équipements par des moyens fixes ou non (cela comprend en particulier l’accès à la boucle locale ainsi qu’aux ressources et services nécessaires à la fourniture de services par la boucle locale); l’accès à l’infrastructure physique, y compris aux bâtiments, gaines et pylônes; l’accès aux systèmes logiciels pertinents, y compris aux systèmes d’assistance à l’exploitation; l’accès aux systèmes d’information ou aux bases de données pour la préparation de commandes, l’approvisionnement, la commande, les demandes de maintenance et de réparation et la facturation; l’accès à la conversion du numéro d’appel ou à des systèmes offrant des fonctionnalités équivalentes; l’accès aux réseaux fixes et mobiles, notamment pour l’itinérance; l’accès aux systèmes d’accès conditionnel pour les services de télévision numérique et l’accès aux services de réseaux virtuels.

accès [Directive UE "Paquet Télécom II" n°2009/140/CE du 25 novembre 2009] : la mise à la disposition d’une autre entreprise, dans des conditions bien définies et de manière exclusive ou non exclusive, de ressources et/ou de services en vue de la fourniture de services de communications électroniques, y compris lorsqu’ils servent à la fourniture de services de la société de l’information ou de contenu radiodiffusé. Cela couvre notamment: l’accès à des éléments de réseaux et à des ressources associées et éventuellement à la connexion des équipements par des moyens fixes ou non (cela comprend en particulier l’accès à la boucle locale ainsi qu’aux ressources et services nécessaires à la fourniture de services par la boucle locale); l’accès à l’infrastructure physique, y compris aux bâtiments, gaines et pylônes; l’accès aux systèmes logiciels pertinents, y compris aux systèmes d’assistance à l’exploitation; l’accès aux systèmes d’information ou aux bases de données pour la préparation de commandes, l’approvisionnement, la commande, les demandes de maintenance et de réparation et la facturation; l’accès à la conversion du numéro d’appel ou à des systèmes offrant des fonctionnalités équivalentes; l’accès aux réseaux fixes et mobiles, notamment pour l’itinérance; l’accès aux systèmes d’accès conditionnel pour les services de télévision numérique et l’accès aux services de réseaux virtuels.

accès [PROJET de Règlement UE "DGA" du 25 novembre 2020 (Data Governance Act)] : le traitement, par un utilisateur de données, de données qui ont été fournies par un détenteur de données conformément à des exigences techniques, juridiques ou organisationnelles particulières, sans que cela implique nécessairement la transmission ou le téléchargement de ces données.

accès non autorisé [à des données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

accès partagé à la boucle locale [Directive UE 2009/140/CE du 25 novembre 2009] : le fait de fournir à un bénéficiaire un accès à la boucle locale ou à la sous-boucle locale de l’opérateur PSM notifié autorisant l’usage d’une partie spécifiée de la capacité des infrastructures des réseaux telle qu’une partie de la fréquence ou l’équivalent.

accès totalement dégroupé à la boucle locale [Directive UE "Paquet Télécom II" n°2009/140/CE du 25 novembre 2009] : le fait de fournir à un bénéficiaire un accès à la boucle locale ou à la sous-boucle locale de l’opérateur PSM autorisant l’usage de la pleine capacité des infrastructures des réseaux.

actif numérique [article L54-10-1 du Code monétaire et financier] : Pour l'application du présent chapitre, les actifs numériques comprennent : 1° Les jetons mentionnés à l'article L. 552-2, à l'exclusion de ceux remplissant les caractéristiques des instruments financiers mentionnés à l'article L. 211-1 et des bons de caisse mentionnés à l'article L. 223-1 ; 2° Toute représentation numérique d'une valeur qui n'est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d'une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement.

action d’administration [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : installation, suppression, modification ou consultation d'une configuration d'un composant du système d'information, susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.

action de maintenance [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : réglage, vérification ou réparation des composants matériels ou logiciels du système d'information.

action de support [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : sous-ensemble des actions d'administration ne nécessitant pas les plus hauts niveaux de privilège et ne donnant pas accès, même indirectement, aux données du commanditaire.

administrateur [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : personne physique disposant de droits privilégiés sur un système d’information, chargée des actions d’administration ou de maintenance sur celui-ci, responsable d’un ou plusieurs domaines techniques.

administration sécurisée [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : ensemble des actions d'administration menées à l'état de l'art de la sécurité numérique.

Adversaire [ANSSI guide de sélection d'algorithmes cryptographiques - 8 mars 2021] : entité malveillante ayant pour but de remettre en cause l’objectif de sécurité d’un mécanisme cryptographique.

Algorithme cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Procédure de calcul bien définie qui prend un nombre d’entrées donné, produit une valeur de sortie, et satisfait une propriété de sécurité.

Algorithme de chiffrement par bloc [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un algorithme de chiffrement par bloc est un algorithme de chiffrement élémentaire permettant de traiter des données de tailles fixes, appelées blocs à l’aide d’un paramètre, appelé clé. Lorsque la clé considérée est fixe, l’opération de chiffrement des blocs est inversible et l’opération inverse est appelée opération de déchiffrement. On note n et k respectivement les tailles en bits des blocs et des clés de l’algorithme. Le comportement « en boîte noire » d’un algorithme de chiffrement par bloc à l’état de l’art et de la fonction de déchiffrement associée, utilisés avec une clé tirée aléatoirement, est indiscernable de celui d’une fonction inversible tirée aléatoirement et de son inverse. En particulier, des paires (clair, chiffré) n’apportent pas d’information exploitable sur la clé mise en œuvre, ni sur l’association établie par la fonction de chiffrement entre les autres clairs et les autres chiffrés.

Algorithme de chiffrement par flot [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un algorithme de chiffrement par flot (synchrone) permet de chiffrer un message clair de taille arbitraire en générant une suite chiffrante de même taille à partir d’une clé de taille k bits et d’un vecteur d’initialisation de taille n bits, puis en combinant message clair et suite chiffrante par une opération de XOR. Le résultat constitue le chiffré. Les suites chiffrantes produites par un algorithme de chiffrement par flot à l’état de l’art sont indiscernables de sorties d’une source d’aléa idéale, et ce même lorsque l’adversaire dispose de la liberté de choisir les vecteurs d’initialisation.

Algorithmes de chiffrement par bloc [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : De nombreux mécanismes de chiffrement ou d’authentification de message sont obtenus par combinaison d’un algorithme de chiffrement par bloc, le plus souvent de taille n = 128 bits, et d’un mode opératoire. L’algorithme de chiffrement par bloc transforme un bloc clair de n bits en un bloc chiffré de n bits et inversement, tandis que le mode opératoire utilise l’algorithme de chiffrement par bloc pour traiter un message de longueur arbitraire (et prend en particulier en charge les messages de longueur non multiple de n). L’algorithme de chiffrement par bloc ne doit pas être employé seul pour quelque objectif que ce soit. En particulier, le chiffrement d’un message par simple découpage en parties de n bits et application de l’algorithme de chiffrement par bloc sur chaque partie est un mode opératoire (appelé mode ECB, pour Electronic Codebook) qui n’est absolument pas sûr et doit être évité.

altération [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

altruisme en matière de données [PROJET de Règlement UE DGA du 25 novembre 2020 (Data Governance Act)] : le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou les autorisations accordées par d’autres titulaires de données pour l’utilisation de leurs données à caractère non personnel sans demander de contrepartie, à des fins d’intérêt général, telles que la recherche scientifique ou l’amélioration des services publics.

analyse de risque [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : besoins de sécurité du système d’information en fonction de la menace et des enjeux.

annuaire accessible au public [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : un annuaire des utilisateurs finaux de services de communications électroniques, sur support imprimé ou électronique, qui est publié ou mis à la disposition du public ou d'une partie du public, y compris par l'intermédiaire d’un service de renseignements.

API [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’interface logicielle entre des applications, fournie par les radiodiffuseurs ou prestataires de service, et les ressources de l’équipement de télévision numérique avancée prévues pour les services de télévision et de radio numériques.

appel [Directive CCEE n°2018/1972 du 11 décembre 2018] : une connexion établie au moyen d’un service de communications interpersonnelles accessible au public permettant une communication vocale bidirectionnelle.

appel [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : une connexion établie au moyen d’un service de communications électroniques accessible au public permettant une communication vocale bidirectionnelle.

appels vocaux de prospection directe [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les appels effectués en direct sans recourir à des systèmes de communication et d'appel automatisés.

attaque [NORME internationale ISO 27000:2018] : tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'utiliser sans autorisation un actif, ou de faire un usage non autorisé de celui-ci.

atteinte à l'intégrité d'un système d'information [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : le fait d'entraver ou d'interrompre le fonctionnement d'un système d'information en introduisant, en transmettant, en endommageant, en effaçant, en détériorant, en altérant ou en supprimant des données numériques, ou en les rendant inaccessibles.

atteinte à l'intégrité des données [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : l'effacement, l'endommagement, la détérioration, l'altération ou la suppression de données numériques dans un système d'information, ou le fait de rendre ces données inaccessibles; cette notion couvre également le vol de données, de fonds, de ressources économiques ou de droits de propriété intellectuelle.

atteinte au secret des correspondances [article 226-15 du Code pénal] : Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions. Lorsqu'ils sont commis par le conjoint ou le concubin de la victime ou le partenaire lié à la victime par un pacte civil de solidarité, ces faits sont punis d'une peine de deux ans d'emprisonnement et de 60 000 euros d'amende.

atteinte au secret professionnel [article 226-13 du Code pénal] : La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende.

attribution du spectre [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : la désignation d’une bande de fréquences donnée, aux fins de son utilisation par un ou plusieurs types de services de radiocommunications, le cas échéant, selon des conditions définies.

attribution du spectre radioélectrique [Directive CCEE n°2018/1972 du 11 décembre 2018] : la désignation d’une bande du spectre radioélectrique donnée, aux fins de son utilisation par un ou plusieurs types de services de radiocommunications, le cas échéant, selon des conditions définies.

audit (sécurité SI) [ANSSI Référentiel "PASSI" du 6 octobre 2015 (Prestataires d’Audit de la Sécurité des Systèmes d’Information)] : processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. Pour les besoins du référentiel, un audit est constitué d’un sous-ensemble des activités d’audit de la sécurité d’un système d’information décrites au chapitre II [du référentiel PASSI V2.1] et des recommandations assorties.

authenticité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

authentification [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique.

Authentification d'entité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Preuve de l’identité proclamée par une entité.

Authentification de l'origine des données [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Confirmation que la source prétendue d’une donnée reçue est légitime.

Authentification de message [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme d’authentification de message (MAC) permet, à l’aide d’une clé secrète K, de produire pour tout message M un motif d’authentification µ (mu) de M (aussi appelé motif d’intégrité de M). Ce motif ne peut pas être calculé sans la connaissance de K. A l’inverse, connaissant K, et ayant reçu un message M′ et un motif d’authentification µ ′ , il est possible de recalculer le motif d’authentification de M′ afin de vérifier qu’il est bien égal à µ ′ . Cela fournit l’assurance que la paire (M′ , µ′ ) a bien été produite avec la clé K et donc que l’intégrité du message a été préservée. Il est à noter qu’un mécanisme d’authentification de message ne protège pas contre le rejeu de messages authentifiés. Cette protection nécessite un mécanisme supplémentaire.

autoévaluation de la conformité [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : une action effectuée par un fabricant ou un fournisseur de produits TIC, services TIC ou processus TIC, qui évalue si ces produits TIC, services TIC ou processus TIC satisfont aux exigences fixées dans un schéma européen de certification de cybersécurité spécifique.

backdoor [glossaire technique en ligne de l'ANSSI] : accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.

base de données [Directive Base de données n°96/9/CE du 11 mars 1996] : un recueil d'oeuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique et individuellement accessibles par des moyens électroniques ou d'une autre manière.

Biclé asymétrique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Paire de clés liées mathématiquement, telles que la clé privée définit une transformation secrète et la clé publique définit une transformation publique.

bien comportant des éléments numériques [Directive UE n°2019/770 du 20 mai 2019] : tout objet mobilier corporel qui intègre un contenu numérique ou un service numérique ou est interconnecté avec un tel contenu ou un tel service d’une manière telle que l’absence de ce contenu numérique ou de ce service numérique empêcherait le bien de remplir ses fonctions.

biens en infraction [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : des biens dont le dessin ou modèle, les caractéristiques, le fonctionnement, le procédé de production ou la commercialisation bénéficient de manière significative de secrets d'affaires obtenus, utilisés ou divulgués de façon illicite.

blocage géographique [Règlement géo-blocage n°2018/302 du 28 février 2018] : [cas où] des professionnels exerçant leurs activités dans un État membre bloquent ou limitent l'accès de clients originaires d'autres États membres désireux de réaliser des transactions transfrontalières à leurs interfaces en ligne, tels que sites internet et applications.

blockchain [pas de définition légale] : ---> voir DEEP "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à la définition légale correspondante]

botnet [roBOT NETwork] [glossaire technique en ligne de l'ANSSI] : un Botnet, autrement dit un réseau de bots (botnet : contraction de réseau de robots), est un réseau de machines compromises à la disposition d’un individu malveillant (le maître). Ce réseau est structuré de façon à permettre à son propriétaire de transmettre des ordres à tout ou partie des machines du botnet et de les actionner à sa guise. Remarques : Certains ensembles peuvent atteindre des nombres considérables de machines (plusieurs milliers). Celles-ci peuvent faire l’objet de commerce illicite ou d’actions malveillantes contre d’autres machines. Elles sont souvent pilotées par des commandes lancées à travers un canal de contrôle comme le service IRC (Internet Relay Chat).

boucle locale [Directive CCEE n°2018/1972 du 11 décembre 2018] : un canal physique utilisé par les signaux de communications électroniques qui relie le point de terminaison du réseau à un répartiteur ou à toute autre installation équivalente du réseau de communications électroniques public fixe.

boucle locale [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : circuit physique qui relie le point de terminaison du réseau à un répartiteur ou à toute autre installation équivalente du réseau public fixe de communications électroniques.

brouillage préjudiciable [Directive CCEE n°2018/1972 du 11 décembre 2018] : le brouillage qui compromet le fonctionnement d’un service de radionavigation ou d’autres services de sécurité ou qui, d’une autre manière, altère gravement, entrave ou interrompt de façon répétée le fonctionnement d’un service de radiocommunications opérant conformément à la réglementation internationale, de l’Union ou nationale applicable.

brouillage préjudiciable [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : le brouillage qui compromet le fonctionnement d’un service de radionavigation ou d’autres services de sécurité ou qui, de toute autre manière, altère gravement, entrave ou interrompt de façon répétée le fonctionnement d’un service de radiocommunications opérant conformément à la réglementation internationale, communautaire ou nationale applicable).

cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique pour garantir l’origine et l’intégrité de ces dernières.

cachet électronique avancé [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un cachet électronique qui satisfait aux exigences énoncées à l’article 36 [Règlement eIDAS n°910/2014 du 23 juillet 2014]. [NDLR : la lecture du Règlement eIDAS est particulièrement difficile du fait de ce type de définition]

cachet électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un cachet électronique avancé qui est créé à l’aide d’un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique.

centre de réception des appels d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : un lieu physique où est réceptionnée initialement une communication d’urgence sous la responsabilité d’une autorité publique ou d’un organisme privé reconnu par l’État membre.

certificat d'authentification de site internet [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation qui permet d’authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré.

certificat de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation électronique qui associe les données de validation d’un cachet électronique à une personne morale et confirme le nom de cette personne.

certificat de cybersécurité européen [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un document délivré par un organisme compétent attestant qu’un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité.

certificat de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne.

certificat qualifié d'authentification de site internet [Règlement eIDAS n°910/2014 du 23 juillet 2004] : un certificat d’authentification de site internet, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe IV {du texte précité}.

certificat qualifié de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un certificat de cachet électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe III.

certificat qualifié de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un certificat de signature électronique, qui est délivré par un prestataire de services de confiance qualifié et qui satisfait aux exigences fixées à l’annexe I {du texte précité}.

certification de sécurité [glossaire technique en ligne de l'ANSSI] : délivrée par l’ANSSI. Elle porte sur des produits de sécurité (matériels ou logiciels). Elle atteste de la conformité d’un produit de sécurité à un niveau de sécurité donné. Il s’agit d’une évaluation à l’état de l’art réalisée en fonction d’une cible de sécurité et d’un niveau de sécurité visé. Elle est matérialisée par un rapport de certification et un certificat tous deux signés par le Directeur Général de l’Agence. Le catalogue des produits de sécurité certifiés, accompagnés de leur cible de sécurité et de leur rapport de certification est publié sur le site Web de l’Agence. On parle de certification « premier niveau » (CSPN) ou de certification « Critères Communs ». Cette certification est délivrée par l’ANSSI sur la base des travaux dévaluation menés par un CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information). Les CESTI sont des laboratoires accrédités par le COFRAC (Comité Français d’Accréditation) et agréés par l’ANSSI. Le catalogue des CESTI est publié sur le site Web de l’Agence. Au sein de l’ANSSI, c’est le Centre National de Certification de la Sous-direction Expertise qui remplit ces missions.

chaine de blocs [pas de définition légale] : ---> voir DEEP "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à cette définition légale]

cheval de Troie [glossaire technique en ligne de l'ANSSI] : programme donnant l’impression d’avoir une fonction utile, mais qui possède par ailleurs une fonction cachée et potentiellement malveillante.

chiffrement [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

chiffrement [glossaire technique en ligne de l'ANSSI] : transformation cryptographique de données produisant un cryptogramme. NDLR : le terme scientifique désignant la science du chiffrement est la "cryptographie".

Chiffrement asymétrique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’opération publique de chiffrement transforme à l’aide de la clé publique P u un message clair M en un message chiffré C. L’opération privée de déchiffrement permet de recalculer M à partir de C et de la clé privée P r. Le chiffrement asymétrique permet donc à toute personne ayant accès à la clé publique de chiffrer des messages à l’intention du détenteur de la clé privée.

Chiffrement authentifié [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Combine le chiffrement et l’authentification de message en un seul mécanisme, avec une seule clé. Certains mécanismes de chiffrement authentifié permettent de plus d’associer au message chiffré M un message clair M’ qui ne sera pas chiffré. L’authentification porte alors sur l’association du chiffré correspondant à M et de M’. Une telle combinaison peut être utile pour lier de façon authentique à une donnée chiffrée une donnée claire nécessaire à son traitement.).

Chiffrement de clé [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de chiffrement de clé permet le stockage ou la transmission sécurisée de clés, en garantissant leur confidentialité, leur intégrité et l’authenticité de leur origine. Un mécanisme de chiffrement de clé est un schéma de chiffrement authentifié. Le fait que les données protégées soient aléatoires permet d’utiliser un schéma de chiffrement authentifié déterministe.

Chiffrement non authentifié [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme de chiffrement symétrique permet, à l’aide d’une clé secrète K, de transformer un message clair M en un message chiffré C. L’accès à C (par exemple sur un canal de communication public) sans connaissance de K n’apporte pas d’information sur M. La même clé K permet de déchiffrer C pour retrouver M. Les bons procédés de chiffrement symétrique sont probabilistes, c’est-à-dire qu’ils utilisent en plus de la clé K une valeur aléatoire, ou bien à état persistant, ce qui permet de garantir à chaque chiffrement l’utilisation d’une valeur auxiliaire n’ayant jamais été utilisée précédemment conjointement avec la clé K. Dans les deux cas, cela permet d’introduire de la variabilité dans le chiffré C, de telle sorte qu’un même message M ne soit pas chiffré toujours en le même message C. Ainsi, il n’est pas possible, par exemple, de comparer des chiffrés entre eux pour déterminer si les messages clairs correspondants sont égaux.

classement [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : la priorité relative accordée aux biens ou services proposés par le biais de services d’intermédiation en ligne, ou la pertinence reconnue aux résultats de recherche par les moteurs de recherche en ligne, tels qu’ils sont présentés, organisés ou communiqués, respectivement, par les fournisseurs de services d’intermédiation en ligne ou par les fournisseurs de moteurs de recherche en ligne, quels que soient les moyens technologiques utilisés pour une telle présentation, organisation ou communication.

clause pénale [Cour de cassation Chambre civile 20 décembre 2006] : immeuble en l'état futur d'achèvement ... délai [contractuel de livraison] pas... respecté... indemnités de retard prévues par le contrat ; ... la preuve n'était pas rapportée que le retard ... dans la livraison ... ait causé un préjudice... ; ... la clause pénale, sanction du manquement d'une partie à ses obligations, s'applique du seul fait de cette inexécution.

clause pénale [Cour de cassation Chambre civile 3 septembre 2015] : par acte authentique, [les] vendeurs d'un immeuble, ont souscrit l'obligation... de faire enlever une jardinière établie sur le domaine public, sous astreinte journalière ; ...un juge de l'exécution a déclaré irrecevable la demande de ... liquidation de l'astreinte conventionnelle ; ... la clause litigieuse s'analysait en une clause pénale

clause pénale [Cour de cassation Chambre commerciale 14 juin 2016] : ... même si pour partie, l'indemnité de jouissance prévue par le contrat représente pour le bailleur une contrepartie du service dont le locataire continue de bénéficier après le terme de la location en conservant les matériels loués, cette indemnité vise également à contraindre le locataire à restituer le matériel loué et constitue une évaluation forfaitaire et anticipée du montant du préjudice résultant pour le bailleur de l'inexécution, qui s'applique du seul fait de celle-ci... la clause prévoyant cette indemnité devait être qualifiée de clause pénale.

clause pénale [Cour de cassation Chambre civile 14 février 2019] : une promesse de vente... comportant une clause pénale relative à l'exécution, par les vendeurs, de travaux de réparation... la clause pénale forfaitaire sanctionnait l'inexécution des travaux par les vendeurs... les acquéreurs ne pouvaient prétendre à une application cumulative de cette clause pénale avec des dommages-intérêts alloués en réparation des préjudices résultant de l'inexécution de travaux conformes à ceux définis par la promesse de vente.

Clé cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Séquence de symboles qui contrôle l’exécution d’une fonction cryptographique.

Clé secrète [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : clé cryptographique utilisée dans des techniques de cryptographie symétrique par un ensemble d’entités prédéfini.

Clés secrètes et biclés asymétriques [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Les clés mises en œuvre par les mécanismes cryptographiques doivent être construites à partir de valeurs aléatoires qui doivent impérativement provenir d’un générateur aléatoire de qualité, en général spécialement prévu pour cet usage 3 . Pour les mécanismes symétriques, ceci permet d’assurer leur résistance contre la recherche exhaustive, attaque générique consistant pour un adversaire à tester toutes les clés possibles. Pour les mécanismes asymétriques, ceci permet également d’assurer leur résistance contre la meilleure attaque générique, mais aussi de se prémunir contre les attaques reposant sur une connaissance partielle de la clé. En effet, dans le cas des mécanismes asymétriques, la recherche exhaustive n’est jamais la meilleure attaque, et une connaissance partielle de la clé peut en outre avoir des conséquences catastrophiques pour la sécurité.

cloud computing (informatique en nuage) [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.

cloud privé [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : offre spécifique de cloud computing reposant sur des infrastructures dédiées à une entité et dont les outils d’administration peuvent ne pas être exposés sur Internet.

cloud public [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : offre générique de cloud computing reposant sur la mutualisation par défaut de l’infrastructure (capacité d’exécution, mémoire vive, stockage, etc.) au profit de différents clients et dont les outils d’administration sont exposés exclusivement sur Internet.

code malveillant / logiciel malveillant [glossaire technique en ligne de l'ANSSI] : tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Remarques : Les virus ou les vers sont deux types de codes malveillants connus.

commerce électronique [Loi LCEN n°2004-575 du 21 juin 2004] : l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services. Entrent également dans le champ du commerce électronique les services tels que ceux consistant à fournir des informations en ligne, des communications commerciales et des outils de recherche, d'accès et de récupération de données, d'accès à un réseau de communication ou d'hébergement d'informations, y compris lorsqu'ils ne sont pas rémunérés par ceux qui les reçoivent. Une personne est regardée comme étant établie en France au sens du présent chapitre lorsqu'elle s'y est installée d'une manière stable et durable pour exercer effectivement son activité, quel que soit, s'agissant d'une personne morale, le lieu d'implantation de son siège social.

communication au public en ligne [Loi LCEN n°2004-575 du 21 juin 2004] : toute transmission, sur demande individuelle, de données numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur.

communication au public par voie électronique [Loi LCEN n°2004-575 du 21 juin 2004] : toute mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une correspondance privée.

communication commerciale [Directive Commerce électronique n°2000/31/CE du 8 juin 2000] : toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services, ou l’image d’une entreprise, d’une organisation ou d’une personne ayant une activité commerciale, industrielle, artisanale ou exerçant une profession réglementée. Ne constituent pas en tant que telles des communications commerciales : — les informations permettant l’accès direct à l’activité de l’entreprise, de l’organisation ou de la personne, notamment un nom de domaine ou une adresse de courrier électronique, — les communications relatives aux biens, aux services ou à l’image de l’entreprise, de l’organisation ou de la personne élaborées d’une manière indépendante, en particulier lorsqu’elles sont fournies sans contrepartie financière.

communication d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : une communication effectuée au moyen de services de communications interpersonnelles, entre un utilisateur final et le PSAP, dont le but est de demander et de recevoir des secours d’urgence de la part de services d’urgence.

communication de prospection directe [PROJET Règlement e-Privacy v1 du 10 janvier 2017] : toute forme de publicité, tant écrite qu'orale, envoyée à un ou plusieurs utilisateurs finaux, identifiés ou identifiables, de services de communications électroniques, y compris au moyen de systèmes de communication et d'appel automatisés, avec ou sans intervention humaine, par courrier électronique, par SMS, etc.

compatibilité [Directive UE n°2019/770 du 20 mai 2019] : la capacité du contenu numérique ou du service numérique à fonctionner avec du matériel informa­ tique ou des logiciels avec lesquels des contenus numériques ou des services numériques de même type sont nor­malement utilisés, sans qu’il soit nécessaire de convertir le contenu numérique ou le service numérique.

composant de sécurité [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : composant électronique d’un titre d’identité, utilisé comme support de stockage sécurisé des données d’état civil ainsi que de la photographie du légitime détenteur de ce titre. L’accès aux informations contenues dans le composant de sécurité d’un titre d’identité peut faire l’objet de restrictions dans le droit national des États

composant de sécurité d'un produit ou d'un système [PROJET de Règlement IA du 21 avril 2021] : un composant d’un produit ou d’un système qui remplit une fonction de sécurité pour ce produit ou ce système ou dont la défaillance ou le dysfonctionnement met en danger la santé et la sécurité des personnes ou des biens.

compromission [proposition de clause contractuelle v03-2022] : désigne toute exploitation par un tiers d'une Vulnérabilité et/ou d'un Malware (i) qui porte atteinte au fonctionnement attendu par le PRESTATAIRE du Service ou du Logiciel et/ou du Système d'Information d'une partie; et (ii) qui est susceptible de constituer un délit ou un crime (par exemple une atteinte à un système de traitement automatisé de données au sens des articles 323-1 à 323-3 du Code pénal). Toute Compromission avérée et documentée, par exemple via des Traces, doit faire l'objet d'une information par la partie qui le subit au profit de l'autre. Les actions de remédiation aux Compromissions (appréciation de criticité, mise en œuvre de Correctifs, etc.) sont définies dans les obligations de Maintenance à la charge du PRESTATAIRE.

compte privilégié [glossaire technique en ligne de l'ANSSI] : un compte privilégié est un compte bénéficiant de droits d’accès étendus permettant à des utilisateurs malveillants de porter plus facilement ou plus gravement atteinte à la sécurité ou au fonctionnement du SIIV. Les comptes privilégiés sont par exemple des comptes d’administrateurs ou des comptes d’utilisateurs disposant de droits à fort impact métier dans une application.

conditions générales [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toutes les conditions générales ou spécifications, quelle que soit leur dénomination ou leur forme, qui régissent la relation contractuelle entre le fournisseur de services d’intermédiation en ligne et ses entreprises utilisatrices et qui sont fixées unilatéralement par le fournisseur de services d’intermédiation en ligne; une telle détermination unilatérale est évaluée sur le fondement d’une évaluation globale, pour laquelle l’importance relative des parties concernées, le fait qu’une négociation a eu lieu ou le fait que certaines dispositions aient pu faire l’objet d’une telle négociation et être déterminées ensemble par le fournisseur concerné et l’entreprise utilisatrice n’est pas, en soi, décisif.

Confidentialité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Propriété qui assure qu’une information n’est ni disponible ni divulguée à des entités non autorisées.

confidentialité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

confidentialité [NORME internationale ISO 27000:2018] : propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés.

confidentialité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

connexion à distance [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : depuis un poste de travail, la connexion à distance consiste à se connecter sur un autre environnement (physique ou virtuel) afin d’y ouvrir une session graphique (au travers de protocoles tels que Remote Desktop Protocol [RDP] ou Independent Computing Architecture) ou console (au travers de protocoles tels que Secure SHell ou des outils tels que PowerShell).

Construction cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Mécanisme cryptographique construit à partir d’au moins un autre mécanisme cryptographique.

contenu de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : le contenu échangé au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de documents vidéo, d'images et de son.

contenu numérique [Directive UE n°2019/770 du 20 mai 2019] : des données produites et fournies sous forme numérique. NDLR : définition à rapprocher de celle de "données de communications électroniques" proposée dans le PROJET de Règlement UE "e-Privacy" du 10 janvier 2017 (sensé un jour abroger la Directive 2002/58/CE dite "e-Privacy").

contrat à distance [Directive UE 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs] : tout contrat conclu entre le professionnel et le consommateur, dans le cadre d’un système organisé de vente ou de prestation de service à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu’au moment, et y compris au moment, où le contrat est conclu.

contremarque de temps [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : donnée signée qui lie une représentation d'une donnée à un temps particulier, exprimé en heure UTC, établissant ainsi la preuve que la donnée existait à cet instant là.

contrevenant [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : toute personne physique ou morale qui a obtenu, utilisé ou divulgué un secret d'affaires de façon illicite.

contribution à une création de contenu [Décret métadonnées LCEN n°2021-1362 du 20 octobre 2021] : La contribution à une création de contenu mentionnée au dernier alinéa des articles 5 et 6 du présent décret comprend les opérations portant sur : 1° Des créations initiales de contenus ; 2° Des modifications des contenus et de données liées aux contenus ; 3° Des suppressions de contenus.

contrôle d'accès [NORME internationale ISO 27000:2018] : moyens mis en œuvre pour assurer que l'accès aux actifs est autorisé et limité selon les exigences (3.56) propres à la sécurité et à l'activité métier.

cookie [pas de définition légale] : ---> voir "traceur" : les cookies HTTP … les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil).

courrier électronique [Loi LCEN n°2004-575 du 21 juin 2004] : tout message, sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l'équipement terminal du destinataire, jusqu'à ce que ce dernier le récupère.

courrier électronique [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : tout message électronique contenant des informations sous forme de texte, de voix, de son ou d'image, envoyé par un réseau public de communications, qui peut être stocké dans le réseau, dans des installations informatiques connexes ou dans l'équipement terminal de son destinataire.

créateur de cachet [Règlement eIDAS n°910/2014 du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques] : une personne morale qui crée un cachet électronique.

cyber menace [Règlement UE "CyberSecurity Act" n°2019/881 du 17 avril 2019] : toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes.

[cyber] résilience [wikipédia] : « Résilience » désigne originellement la résistance d'un matériau aux chocs ; (le « fait de rebondir », du latin resilientia, de resiliens), définition ensuite étendue à la capacité d'un corps, d'un organisme, d'une espèce, d'un système, d'une structure à surmonter une altération de son environnement. Ce concept est utilisé dans plusieurs contextes : ...

• dans le domaine de la cyber-sécurité, la cyber résilience est la capacité d'un système à assurer en permanence les fonctionnalités prévues malgré des cyber-événements indésirables

cyber sécurité [Règlement UE Cyber Security Act n°2019/881 du 17 avril 2019] : les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces.

décision d'homologation [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : la décision d’homologation atteste, au nom de l’autorité administrative, que le système d’information est protégé conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés. La décision d’homologation s’appuie sur un dossier d’homologation. Lorsqu'elle concerne un téléservice, cette décision est rendue accessible aux usagers.

décompilation [Directive Logiciel n°2009/24/CE du 23 avril 2009] : reproduction du code ou la traduction de la forme de ce code... indispensable pour obtenir les informations nécessaires à l'interopérabilité d'un programme d'ordinateur créé de façon indépendante avec d'autres programmes.

démarche d'analyse de risques [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : identifier les évènements qui peuvent affecter la sécurité du système, d’en estimer les conséquences et les impacts potentiels puis de décider des actions à réaliser afin de réduire le risque à un niveau acceptable.

Dérivation de clé [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de dérivation de clé permet de dériver à partir d’une clé K et d’un identifiant non secret (entier, chaîne de caractères), une clé K′ . La connaissance de K permet de dériver K′ , mais la connaissance de K′ ne permet pas de remonter à K. Ce mécanisme permet de dériver à partir d’un secret initial unique plusieurs clés pour des usages différents. Comme nous allons le voir au paragraphe suivant, un mécanisme de dérivation de clé n’est pas suffisant pour la dérivation de clés à partir d’un mot de passe.

destruction [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

détenteur de données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : une personne morale ou une personne concernée qui, conformément au droit de l’Union ou au droit national applicable, a le droit de donner accès à certaines données à caractère personnel ou à caractère non personnel qu’elle contrôle ou de les partager.

détenteur de secrets d'affaires [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : toute personne physique ou morale qui a le contrôle d'un secret d'affaires de façon licite.

disponibilité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

disponibilité [NORME internationale ISO 27000:2018] : propriété d'être accessible et utilisable à la demande par une entité autorisée. ---> le terme "disponibilité" est utilisé dans l'article 32 du Règlement UE "RGPD" n°2016/679 du 27 avril 2016 et dans la Directive UE "NIS" n°2016/1148 du 6 juillet 2016

disponibilité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

dispositif d'enregistrement électronique partagé [article R.211-9-7 du Code monétaire et financier] : Le dispositif d'enregistrement électronique partagé mentionné à l'article L. 211-3 est conçu et mis en œuvre de façon à garantir l'enregistrement et l'intégrité des inscriptions et à permettre, directement ou indirectement, d'identifier les propriétaires des titres, la nature et le nombre de titres détenus. Les inscriptions réalisées dans ce dispositif d'enregistrement font l'objet d'un plan de continuité d'activité actualisé comprenant notamment un dispositif externe de conservation périodique des données. Lorsque des titres sont inscrits dans ce dispositif d'enregistrement, le propriétaire de ces titres peut disposer de relevés des opérations qui lui sont propres. ---> voir décret n°2018-1226 du 24 décembre 2018 relatif à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers et pour l'émission et la cession de minibons

dispositif d'enregistrement électronique partagé ou "DEEP" [pas de définition légale] : ---> désigne un protocole blockchain dans la loi PACTE n°2019-486 du 22 mai 2019

dispositif de création de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif logiciel ou matériel configuré utilisé pour créer un cachet électronique.

dispositif de création de cachet électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif de création de cachet électronique qui satisfait mutatis mutandis aux exigences fixées à l’annexe II.

dispositif de création de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif logiciel ou matériel configuré servant à créer une signature électronique.

dispositif de création de signature électronique qualifiée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif de création de signature électronique qui satisfait aux exigences énoncées à l’annexe II {du texte précité}.

distributeur [PROJET de Règlement IA du 21 avril 2021] : toute personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d’IA à disposition sur le marché de l’Union sans altérer ses propriétés.

divulgation non autorisée [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

DNS pharming [glossaire technique en ligne de l'ANSSI] : activité malveillante visant à modifier un serveur DNS (serveur de noms de domaine), dans le but de rediriger un nom de domaine vers une adresse IP différente de l’adresse légitime. En croyant aller sur un site connu, l’internaute navigue en réalité sur un site factice.  

document électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : tout contenu conservé sous forme électronique, notamment un texte ou un enregistrement sonore, visuel ou audiovisuel.

documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique [Loi n°68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères] : article 1er - Sous réserve des traités ou accords internationaux, il est interdit à toute personne physique de nationalité française ou résidant habituellement sur le territoire français et à tout dirigeant, représentant, agent ou préposé d'une personne morale y ayant son siège ou un établissement de communiquer par écrit, oralement ou sous toute autre forme, en quelque lieu que ce soit, à des autorités publiques étrangères, les documents ou les renseignements d'ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public, précisés par l'autorité administrative en tant que de besoin. article 1bis - Sous réserve des traités ou accords internationaux et des lois et règlements en vigueur, il est interdit à toute personne de demander, de rechercher ou de communiquer, par écrit, oralement ou sous toute autre forme, des documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique tendant à la constitution de preuves en vue de procédures judiciaires ou administratives étrangères ou dans le cadre de celles-ci. NOTE---> [mise à jour du 20 avril 2022] Le décret n° 81-550 du 12 mai 1981 portant application de l'article 2 de la loi du 26 juillet 1968 est abrogé et remplacé par le décret n°2022-207 du 18 février 2022 qui est complété par un arrêté du 7 mars 2022 <---NOTE

données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, notamment sous la forme d’enregistrements sonores, visuels ou audiovisuels.

données à caractère personnel [Règlement RGPD n°2016/679 du 27 avril 2016] : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

données biométriques [PROJET de Règlement IA du 21 avril 2021] : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

données biométriques [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

données concernant la santé [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

données d'entraînement [PROJET de Règlement IA du 21 avril 2021] : les données utilisées pour entraîner un système d’IA en ajustant ses paramètres entraînables, y compris les poids d’un réseau neuronal.

données d'entrée [PROJET de Règlement IA du 21 avril 2021] : les données fournies à un système d’IA ou directement acquises par celui-ci et à partir desquelles il produit un résultat.

données d'identification personnelle [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un ensemble de données permettant d’établir l’identité d’une personne physique ou morale, ou d’une personne physique représentant une personne morale.

données d’identification [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : ensemble de données à caractère personnel acquises et vérifiées par le service afin de vérifier l’identité d’une personne physique. Dans le cadre du présent référentiel les données d’identification peuvent être la vidéo du visage de l’utilisateur, la vidéo du titre d’identité présenté par l’utilisateur, ou les données relatives à l’utilisateur (dont la photographie du visage de l’utilisateur) stockées dans le composant de sécurité du titre d’identité.

données de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : le contenu de communications électroniques et les métadonnées de communications électroniques.

données de création de cachet électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données uniques qui sont utilisées par le créateur du cachet électronique pour créer un cachet électronique.

données de création de signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données uniques qui sont utilisées par le signataire pour créer une signature électronique.

données de test [PROJET de Règlement IA du 21 avril 2021] : les données utilisées pour fournir une évaluation indépendante du système d’IA entraîné et validé afin de confirmer les performances attendues de ce système avant sa mise sur le marché ou sa mise en service.

données de validation [PROJET de Règlement IA du 21 avril 2021] : les données utilisées pour fournir une évaluation du système d’IA entraîné et pour régler ses paramètres non entraînables et son processus d’apprentissage, notamment, afin d’éviter tout surajustement; le jeu de données de validation pouvant être un jeu de données distinct ou faire partie du jeu de données d’apprentissage, selon une division variable ou fixe.

données de validation [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données qui servent à valider une signature électronique ou un cachet électronique.

données génétiques [Règlement RGPD n°2016/679 du 27 avril 2016] : les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question.

données hautement personnelles [Délibération CNIL données hautement personnelles n°2018-303 du 6 septembre 2018] : Les données financières, dont les données relatives aux cartes de paiement, sont qualifiées de « données à caractère hautement personnel » compte tenu de la gravité des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par exemple).

droit sui generis [Directive Base de données n°96/9/CE du 11 mars 1996] : pour le fabricant d'une base de données, le droit d'interdire l'extraction et/ou la réutilisation de la totalité ou d'une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif.

Échange de clé (ou établissement de clé) [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : l’échange de clé permet à deux correspondants dialoguant sur un canal public d’aboutir à un secret commun. Ce secret commun est en général utilisé pour générer des clés utilisées dans des communications ultérieures. Pour assurer la sécurité de ces protocoles contre les attaques actives, attaques de type Man-in-the-middle, où un adversaire s’insère dans la communication et manipule les messages échangés lors du protocole d’échange de clé, ces messages doivent être authentifiés. Ceci fournit de plus à chaque participant une garantie sur l’identité de son correspondant (dans certaines variantes, comme dans la mise en œuvre la plus courante de HTTPS, seul l’un des deux participants s’assure de l’identité de son correspondant). Habituellement, les participants authentifiés possèdent chacun une clé privée et l’authentification est rendue possible par la connaissance par les participants de la clé publique de leur correspondant. Les protocoles d’échanges de clé sont mis en œuvre dans différents protocoles réseau visant à établir un canal sécurisé (confidentiel et intègre), comme TLS ou IPSEC.

écrit [article 1365 du Code civil] : l'écrit consiste en une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quel que soit leur support.

écrit électronique [article 1366 du Code civil] : l'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.

EDINA [AVANT-PROJET de Règlement UE du 1er avril 2022] : l'acronyme "EDINA" pour "European Digital Infrastructures and Networks Act" ne signifie rien du tout dans la mesure où ce projet de Règlement UE est sorti de l'imagination (débordante) des contributrices et contributeurs du podcast NoLimitSecu pour l'épisode du 1er avril 2022. Non, il n'est nulle part prévu que l'ENISA devienne "CANIS", ni que le système de scoring CVSS du NIST soit remplacé par le système "EVES" ("European Vulnerability Evaluation Score" ). Pour écouter cet épisode "poisson d'avril 2022" du podcast NoLimitSecu, cliquez sur ce lien.

entreprise utilisatrice [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : tout particulier qui agit dans le cadre de son activité commerciale ou professionnelle ou toute personne morale qui, par le biais de services d’intermédiation en ligne, offre des biens ou services aux consommateurs à des fins liées à son activité commerciale, industrielle, artisanale ou libérale.

environnement numérique [Directive UE n°2019/770 du 20 mai 2019] : tout matériel informatique, logiciel et connexion réseau utilisés par le consommateur pour accéder à un contenu numérique ou à un service numérique ou en faire usage.

envoi recommandé électronique [Loi République Numérique n°2016-1321 du 7 octobre 2016] : I.-L'envoi recommandé électronique est équivalent à l'envoi par lettre recommandée, dès lors qu'il satisfait aux exigences de l'article 44 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE. Dans le cas où le destinataire n'est pas un professionnel, celui-ci doit avoir exprimé à l'expéditeur son consentement à recevoir des envois recommandés électroniques. Le prestataire peut proposer que le contenu de l'envoi soit imprimé sur papier puis acheminé au destinataire dans les conditions fixées au livre Ier du présent code. II.-Un décret en Conseil d'Etat fixe les modalités d'application du présent article, notamment : 1° Les exigences requises en matière : a) D'identification de l'expéditeur et du destinataire ; b) De preuve du dépôt par l'expéditeur des données et du moment de ce dépôt ; c) De preuve de la réception par le destinataire ou son mandataire des données transmises et du moment de cette réception ; d) D'intégrité des données transmises ; e) De remise, le cas échéant, de l'envoi recommandé électronique imprimé sur papier ; 2° Les informations que le prestataire d'un envoi recommandé électronique doit porter à la connaissance du destinataire ; 3° Le montant de l'indemnité forfaitaire due par le prestataire dont la responsabilité est engagée, en cas de retard dans la réception, de perte, extraction, altération ou modification frauduleuse des données transmises lors de la prestation

équipement de station terrestre de satellites [Directive Equipements terminaux" n°2008/63/CE du 20 juin 2008] : tout équipement pouvant servir pour l'émission (émission seule), pour l'émission et la réception (émission-réception) ou uniquement pour la réception (réception seule) de signaux radio-électriques au moyen de satellites ou d'autres systèmes spatiaux.

équipement terminal [de télécommunications] [Directive Equipements terminaux n°2008/63/CE du 20 juin 2008] : a) tout équipement qui est connecté directement ou indirectement à l’interface d'un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique; une connexion est indirecte si un appareil est interposé entre l’équipement terminal et l’interface du réseau public, b) les équipements de stations terrestres de satellites.

espiogiciel [glossaire technique en ligne de l'ANSSI] : logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement dans lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.

établissement de clé (ou échange de clé) [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’échange de clé permet à deux correspondants dialoguant sur un canal public d’aboutir à un secret commun. Ce secret commun est en général utilisé pour générer des clés utilisées dans des communications ultérieures. Pour assurer la sécurité de ces protocoles contre les attaques actives, attaques de type Man-in-the-middle, où un adversaire s’insère dans la communication et manipule les messages échangés lors du protocole d’échange de clé, ces messages doivent être authentifiés. Ceci fournit de plus à chaque participant une garantie sur l’identité de son correspondant (dans certaines variantes, comme dans la mise en œuvre la plus courante de HTTPS, seul l’un des deux participants s’assure de l’identité de son correspondant). Habituellement, les participants authentifiés possèdent chacun une clé privée et l’authentification est rendue possible par la connaissance par les participants de la clé publique de leur correspondant. Les protocoles d’échanges de clé sont mis en œuvre dans différents protocoles réseau visant à établir un canal sécurisé (confidentiel et intègre), comme TLS ou IPSEC.

état de l'art (sécurité des systèmes d'information) [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information ou à la vérification d’identité publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine législatif, réglementaire ou normatif.

événement [NORME internationale ISO 27000:2018] : occurrence ou changement d'un ensemble particulier de circonstances.

événement lié à la sécurité de l'information [ISO/IEC 27000:2018] : occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible dans la politique de sécurité de l'information ou un échec des mesures de sécurité, ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité.

évènement lié à la sécurité de l’information [ANSSI Référentiel PRIS du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] occurrence identifiée de l’état d’un système, d’un service ou d’un réseau indiquant une violation possible de la politique de sécurité de l’information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité de l’information.

exploit [glossaire technique en ligne de l'ANSSI] : tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) à des fins malveillantes.

extorsion [article 312-1 du Code pénal] : le fait d'obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque. L'extorsion est punie de sept ans d'emprisonnement et de 100 000 euros d'amende.

extraction [Directive Base de données n°96/9/CE du 11 mars 1996] : le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit.

facteur humain [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : la sensibilisation du personnel aux questions de sécurité [...], ainsi que la formation de ceux qui interviennent plus spécifiquement dans la mise en œuvre et le suivi opérationnel de la sécurité du système d’information (surveillance, détection, prévention).

faille [glossaire technique en ligne de l'ANSSI] : vulnérabilité dans un système informatique permettant à un attaquant de porter atteinte à son fonctionnement normal, à la confidentialité ou à l’intégrité des données qu’il contient.

fichier [Règlement RGPD n°2016/679 du 27 avril 2016] : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Fonction de dérivation de clés [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme de dérivation de clés permet de calculer une ou plusieurs clés à partir d’un secret maître. Il repose sur une primitive symétrique, usuellement une fonction de hachage. Un tel mécanisme prend généralement trois arguments en entrée : une valeur secrète K, une valeur N potentiellement publique, qui consiste usuellement en une chaîne de caractères constante jouant le rôle de diversifiant, et une longueur n ; et renvoie n bits pouvant être divisés le cas échéant en plusieurs clés qui peuvent être considérées comme indépendantes.

Fonction de hachage cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : une fonction de hachage cryptographique est une fonction sans clé qui permet de transformer une donnée de taille arbitraire 6 en une chaîne de bits de taille h fixe, appelée haché. On exige généralement qu’une fonction de hachage cryptographique satisfasse plusieurs propriétés de sécurité. Tout d’abord il doit être difficile de déterminer deux messages distincts dont les images par la fonction de hachage soient identiques : on parle de résistance en collision. On attend également qu’étant donné un message, il soit difficile de déterminer un autre message ayant la même image par la fonction de hachage : on parle de résistance en seconde préimage. Enfin, étant donnée une valeur de haché, il doit être difficile de déterminer un message dont l’image par la fonction de hachage soit égale à cette valeur de haché : on parle de résistance en préimage.

fonctionnalité [Directive n°2019/770 du 20 mai 2019] : la capacité du contenu numérique ou du service numérique à remplir ses fonctions eu égard à sa finalité.

fournisseur [PROJET de Règlement IA du 21 avril 2021] : une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.

fournisseur de moteur de recherche en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toute personne physique ou morale qui fournit, ou propose de fournir, des moteurs de recherche en ligne aux consommateurs.

Fournisseur de service numérique [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security) concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'UE] : une personne morale qui fournit un service numérique.

fournisseur de services de communication au public en ligne [Loi République Numérique n°2016-1321 du 7 octobre 2016] : On entend par fournisseur de services de communication au public en ligne toute personne assurant la mise à disposition de contenus, services ou applications relevant de la communication au public en ligne, au sens du IV de l'article 1er de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Sont notamment considérées comme des fournisseurs de services de communication au public en ligne les personnes qui éditent un service de communication au public en ligne, mentionnées au deuxième alinéa du II de l'article 6 de la même loi, ou celles qui assurent le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature mentionnées au 2 du I du même article 6 { du code des postes et des communications électroniques}.

fournisseur de services d'intermédiation en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toute personne physique ou morale qui fournit, ou propose de fournir, des services d’intermédiation en ligne à des entreprises utilisatrices.

fourniture d'un réseau de communications électroniques [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : la mise en place, l’exploitation, la surveillance ou la mise à disposition d’un tel réseau.

Génération d'aléa [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Beaucoup d’environnements fournissent des générateurs aléatoires de qualité cryptographique. Encore faut-il les employer, ce qui peut par exemple nécessiter de s’assurer que les bibliothèques que l’on emploie ont été configurées correctement à la compilation.

gestion d'incident [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : toutes les procédures utiles à la détection, à l'analyse et au confinement d'un incident et toutes les procédures utiles à l'intervention en cas d'incident. ---> définition utilisée dans le Règlement UE Cyber Security Act n°2019/881 du 17 avril 2019

gestion d'incident [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : la gestion d’incident au sens de l’article 4 point 8) de la directive (UE) NIS n°2016/1148. ---> Voir la définition de "gestion d'incident" de la Directive UE NIS n°2016/1148 du 6 juillet 2016

Gestion de clés [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Application d’une politique de sécurité pour la génération, l’enregistrement, la certification, la radiation, la distribution, l’installation, le stockage, l’archivage, la révocation, la dérivation et la destruction de clés cryptographiques.

gestion des incidents liés à la sécurité de l'information [NORME internationale ISO 27000:2018] : ensemble de processus visant à détecter, rapporter, apprécier, gérer et résoudre les incidents liés à la sécurité de l'information, ainsi qu'à en tirer des enseignements.

Hachage [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Le hachage cryptographique est une transformation sans clé. Celle-ci produit à partir d’une donnée de taille quelconque un haché (digest) de taille fixe. La transformation est conçue pour garantir l’impossibilité de trouver deux données distinctes ayant le même haché. Le hachage est un composant de nombreux mécanismes cryptographiques, comme certaines méthodes d’authentification de message (par exemple HMAC), ou les signatures numériques. La transmission d’un message accompagné de son haché peut permettre la détection d’erreurs de traitement ou de transmission par recalcul du haché de la donnée reçue et comparaison avec le haché reçu. Cependant, un tel usage ne permet pas de se protéger d’un adversaire modifiant intentionnellement la donnée. En effet, rien n’empêche l’adversaire de calculer et de transmettre le haché de la donnée modifiée par ses soins. Pour garantir l’intégrité cryptographique d’une donnée, un mécanisme à clé, de type MAC ou une signature asymétrique, doit être mis en œuvre.

Hachage de mot de passe [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mécanisme de hachage de mot de passe permet de calculer une valeur de vérification V à partir d’un mot de passe M et d’une valeur variable non secrète appelée sel. La valeur V ne permet pas d’obtenir d’information sur M autrement qu’en essayant des valeurs candidates pour M jusqu’à obtenir une coïncidence avec V . L’effort de calcul pour réaliser un hachage de mot de passe est généralement réglable, et ajusté de façon à ralentir l’essai de valeurs candidates pour M. Un utilisateur légitime en possession du mot de passe M peut réaliser l’opération pour un effort de calcul modéré car il ne réalise l’opération qu’une fois, mais l’effort de calcul pour un adversaire testant des valeurs candidates pour M sera plus élevé. La valeur V peut être stockée et servir de valeur de référence pour une authentification à base de mot de passe, ou servir à dériver des clés. Associée à un mécanisme de dérivation de clé, elle peut remplir ces deux fonctions simultanément.

hameçonnage [glossaire technique en ligne de l'ANSSI] : vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.

homologation de sécurité [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Sans préjudice des mesures prises en application des articles R. 1332-41-1 et R. 1332-41-2 du code de la défense pour les systèmes d'information d'importance vitale et de l'article 9 de l'ordonnance du 8 décembre 2005 susvisée pour les systèmes d'information des autorités administratives faisant l'objet d'échanges par voie électronique ainsi que de l'homologation prévue par l'article R. 2311-6-1 du même code pour les systèmes d'information contenant des informations classifiées, les infrastructures et services logiciels informatiques qui composent le système d'information et de communication de l'Etat mentionné à l'article 1er du présent décret font l'objet, préalablement à leur mise en œuvre, d'une homologation de sécurité. L'homologation de sécurité est une décision formelle prise par l'autorité qualifiée en sécurité des systèmes d'information ou par toute personne à qui elle délègue cette fonction. Elle atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'autorité qualifiée en sécurité des systèmes d'information. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE

horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : l'horodatage permet d’attester qu'une donnée existe à un instant donné. Pour cela, il convient d'associer une représentation sans équivoque d'une donnée, par exemple une valeur de hachage associée à un identifiant d'algorithme de hachage, à un instant dans le temps. La garantie de cette association est fournie au moyen d'une contremarque de temps qui est une structure signée qui contient en particulier : - l'identifiant de la politique d'horodatage sous laquelle la contremarque de temps a été générée ; - la valeur de hachage et l'algorithme de hachage de la donnée qui a été horodatée ; - la date et le temps UTC ; - l'identifiant du certificat de l'Unité d'horodatage (UH) qui a généré la contremarque de temps (qui contient aussi le nom de l'Autorité d'horodatage).

horodatage électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données sous forme électronique qui associent d’autres données sous forme électronique à un instant particulier et établissent la preuve que ces dernières données existaient à cet instant.

horodatage électronique qualifié [Règlement 910/2014 eIDAS du 23 juillet 2014] : un horodatage électronique qui satisfait aux exigences fixées à l’article 42 {du texte précité}.

hyperviseur [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : logiciel de virtualisation permettant d’exécuter un ou plusieurs systèmes d’exploitation dits « invités » ou « machines virtuelles » au sein d’un même système d’exploitation dit « hôte ». Dans ce cas, on parle généralement d’hyperviseur de type 2.

identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale.

impact significatif d'un incident [Règlement d'exécution Incident à impact significatif n°2018/151 du 30 janvier 2018] : Un incident est considéré comme ayant un impact significatif si au moins l'une des situations suivantes s'est présentée: a) le service fourni par un fournisseur de service numérique a été indisponible pendant plus de 5 000 000 heures utilisateur, une heure-utilisateur correspondant au nombre d'utilisateurs affectés dans l'Union pendant une durée de soixante minutes; b) l'incident a entraîné une perte de l'intégrité, de l'authenticité ou de la confidentialité des données stockées, transmises ou transformées ou des services connexes offerts ou accessibles par l'intermédiaire d'un réseau et d'un système informatique du fournisseur de service numérique, qui a touché plus de 100 000 utilisateurs dans l'Union; c) l'incident a engendré un risque pour la sécurité ou la sûreté publiques ou a entraîné un décès; d) l'incident a causé un préjudice matériel à au moins un utilisateur dans l'Union dès lors que le préjudice causé à cet utilisateur dépasse 1 000 000 EUR.

importateur [PROJET de Règlement IA du 21 avril 2021] : toute personne physique ou morale établie dans l’Union qui met sur le marché ou met en service un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union.

incident [Directive UE NIS (Network Information Security) 2016/1148 du 6 juillet 2016] : tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information. ---> voir définition de "réseau" et de "système d'information" de la Directive NIS et du projet de directive NIS2

incident [Règlement Cyber Security Act n°2019/881 du 17 avril 2019] : un incident au sens de l’article 4.7 de la directive NIS 2016/1148. ---> article 4.7 directive NIS 2016/1148 "tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information".

incidents affectant le fonctionnement ou la sécurité des systèmes d'information [d'importance Vitale] [article L.1332-6-2 Code de la défense] Les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 [opérateurs d'Importance Vitale] informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d'information mentionnés au premier alinéa de l'article L.1332-6-1 [Système d'Information d'Importance Vitale].

incident affectant les systèmes d'information et de communication [d'un département ministériel] [Décret n°2019-1088 du 25 octobre 2019 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics]: Chaque ministre désigne un fonctionnaire de sécurité des systèmes d'information chargé de l'assister dans l'exercice de sa responsabilité en matière de sécurité numérique mentionnée à l'article 2. Ce fonctionnaire est placé sous l'autorité du haut fonctionnaire mentionné à l'article R. 1143-1 du code de la défense. Le fonctionnaire de sécurité des systèmes d'information s'assure de l'application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d'information et de communication. Il déclare à l'Agence nationale de la sécurité des systèmes d'information les incidents affectant les systèmes d'information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci. Les responsabilités de ce fonctionnaire sont précisées par arrêté du Premier ministre. ---> NOTE : l'article 4-1 du Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE  

incident de sécurité [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : un ou plusieurs évènement(s) de sécurité de l’information indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et/ou de menacer la sécurité de l’information.

incident de sécurité [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : tout événement ayant un effet négatif sur la sécurité des réseaux ou des services de communications électroniques.

incident de sécurité [proposition de clause contractuelle v03-2022]

"Incident de Sécurité" désigne toute Compromission avérée qui doit faire l'objet d'une déclaration obligatoire de survenance à une autorité de contrôle (CNIL, ANSSI, ARS, etc.).

NDLR ---> Il est recommandé de détailler cette clause en fonction de la nature du client / opérateur concerné (OIV, OSE, Opérateur de Communications Electroniques, plateforme, etc.) et des données concernées (données personnelles, données de santé, etc.) et de définir le terme "Compromission".

incident grave [PROJET de Règlement IA du 21 avril 2021] : tout incident entraînant directement ou indirectement, susceptible d'avoir entraîné ou susceptible d'entraîner : (a) le décès d’une personne ou une atteinte grave à la santé d’une personne, à des biens ou à l’environnement, (b) une perturbation grave et irréversible de la gestion et du fonctionnement d’infrastructures critiques.

incident lié à la sécurité de l'information [NORME internationale ISO 27000:2018] : un ou plusieurs événements liés à la sécurité de l'information, indésirables ou inattendus, présentant une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la sécurité de l'information.

incidents de sécurité [glossaire technique en ligne de l'ANSSI] : un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.

indicateur de compromission [ANSSI Référentiel PRIS du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : combinaison d’informations techniques représentatives d’une manifestation de compromission, dont la présence peut être identifiée à partir de l’analyse d’un système, d’un code malveillant ou de traces réseau.

indicateurs techniques de compromission [formulaire ANSSI de déclaration d'incident de sécurité] : indicateurs caractérisant l’attaque tels que des adresses IP, des noms de domaine, des adresses URL, des empreintes cryptographiques, des noms de fichiers ou de codes malveillants, des données contenues dans des codes malveillants ou dans les bases de registre du système, etc.

indisponibilité [d'un système d'information] : pas de définition légale, dans aucun texte de l'UE, ni dans aucune norme type ISO, ni en droit français. ---> voir la définition de "disponibilité"

informations relatives à la localisation de l'appelant [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : dans un réseau mobile public, les données traitées qui proviennent de l’infrastructure de réseau ou de l’appareil mobile et qui indiquent la position géographique de l’équipement terminal mobile d’un utilisateur final et, dans un réseau fixe public, les données relatives à l’adresse physique du point de terminaison du réseau.

intégration [Directive UE n°2019/770 du 20 mai 2019] : le fait de relier et d’intégrer un contenu numérique ou un service numérique aux composantes de l’environnement numérique du consommateur afin de permettre que le contenu numérique ou le service numérique soit utilisé conformément aux critères de conformité prévus par la présente directive.

Intégrité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Propriété qui assure que des données n’ont été ni modifiées ni détruites d’une manière non autorisée.

intégrité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

intégrité [Glossaire technique en ligne de l'ANSSI] : garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime.

intégrité [NORME internationale ISO 27000:2018] : propriété d'exactitude et de complétude. ---> le terme "intégrité" est utilisé à l'article 32 Règlement UE "RGPD" n°2016/679 du 27 avril 2016 et dans la définition du terme "sécurité" [des réseaux et des systèmes d'information] de la Directive UE "NIS" n°2016/1148 du 6 juillet 2016.

intégrité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

interception de données [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : le fait d'intercepter, par des moyens techniques, des transmissions privées de données numériques à destination, à partir ou au sein d'un système d'information, y compris les émissions électromagnétiques provenant d'un système d'information transportant de telles données numériques.

interconnexion [Directive CCEE n°2018/1972 du 11 décembre 2018] : un type particulier d’accès mis en œuvre entre opérateurs de réseaux publics au moyen de la liaison physique et logique des réseaux de communications électroniques publics utilisés par la même entreprise ou une entreprise différente, afin de permettre aux utilisateurs d’une entreprise de communiquer avec les utilisateurs de la même entreprise ou d’une autre entreprise, ou d’accéder aux services fournis par une autre entreprise lorsque ces services sont fournis par les parties concernées ou par d’autres parties qui ont accès au réseau.

interface [Directive Logiciel n°2009/24/CE du 23 avril 2009] : parties du programme qui assurent [l'] interconnexion et [l'] interaction entre les éléments des logiciels et des matériels.

interface de programme d'application [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’interface logicielle entre des applications, fournie par les radiodiffuseurs ou prestataires de service, et les ressources de l’équipement de télévision numérique avancée prévues pour les services de télévision et de radio numériques.

interface en ligne [Règlement géo-blocage n°2018/302 du 28 février 2018] : tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles, exploité par un professionnel ou pour son compte et permettant aux clients d'accéder aux biens ou aux services qu'il propose en vue de réaliser une transaction portant sur ces biens ou services.

interopérabilité [Directive Logiciel n°2009/24/CE du 23 avril 2009] : capacité d'échanger des informations et d'utiliser mutuellement les informations échangées..

interopérabilité [Directive UE n°2019/770 du 20 mai 2019] : la capacité du contenu numérique ou du service numérique à fonctionner avec du matériel infor­matique ou des logiciels différents de ceux avec lesquels des contenus numériques ou des services numériques de même type sont normalement utilisés.

intrusion [glossaire technique en ligne de l'ANSSI] : l’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.

investigation [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : procédé visant à collecter et analyser tout élément technique, fonctionnel ou organisationnel du système d’information permettant de qualifier une situation suspecte en incident de sécurité et de comprendre le mode opératoire et l’étendue d’un incident de sécurité sur un système d’information.

jeton [article L.552-2 du Code monétaire et financier] : constitue un jeton tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé permettant d'identifier, directement ou indirectement, le propriétaire dudit bien. ---> loi PACTE n°2019-486 du 22 mai 2019

journalisation [Délibération Journalisation n°2021-122 du 14 octobre 2021] : dispositifs qui permettent d'assurer une traçabilité des accès et des actions des différents utilisateurs habilités à accéder aux systèmes d'information (et donc aux traitements de données à caractère personnel que sont susceptibles de constituer ces systèmes). Ces dispositifs peuvent être adossés soit à des applications (qui sont les briques logicielles spécifiques au traitement mis en œuvre et sont donc sujettes à la mise en œuvre de journaux dits applicatifs ), soit à des équipements spécifiques (qui sont des équipements informatiques associés à des logiciels embarqués, sujets à la mise en œuvre de journaux dits périmétriques).

K [non, hélas, il n'existe pas encore de définition légale commençant par la lettre "K"] Nous travaillons d'arrache-pied pour remédier à cet état de fait regrettable. Mais ni Matignon, ni Bruxelles n'ont répondu à nos emails. Signé : la direction.

location [Directive Logiciel n°2009/24/CE du 23 avril 2009] : la mise à disposition d'un programme d'ordinateur ou d'une copie de celui-ci en vue de son utilisation pendant une période limitée et à des fins lucratives.

logiciel [pas de définition légale] : ---> voir "programme d'ordinateur" [cliquez sur le lien ci-dessous si vous souhaitez accéder à cette définition légale]

logiciel espion [PROJET Règlement e-Privacy v1 du 10 janvier 2017] : pixels invisibles, identificateurs cachés, cookies traceurs et autres outils similaires de suivi non désiré [pouvant] pénétrer dans l’équipement terminal de l’utilisateur final à son insu afin d’accéder à des informations, de stocker des informations cachées et de suivre les activités.

logiciel malveillant / code malveillant [glossaire technique de l'ANSSI] : tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Remarques : les virus ou les vers sont deux types de codes malveillants connus.

lutte informatique d’influence (L2i) [État-major des armées 22 octobre 2021] : La lutte informatique d’influence (L2i) désigne les opérations militaires conduites dans la couche informationnelle du cyberespace pour y détecter, caractériser et contrer les attaques, renseigner ou faire de la déception, de façon autonome ou en combinaison avec d’autres opérations.

lutte informatique offensive ou LIO [doctrine militaire du Ministère des armées du 9 septembre 2019] La LIO est l’ensemble des actions entreprises dans le cyberespace produisant des effets à l’encontre d’un système adverse, pour en altérer la disponibilité ou la confidentialité des données.

malware [pas de définition légale] : ---> voir "logiciel malveillant" <---

malware [proposition de clause contractuelle v03-2022] : un programme d'ordinateur (notamment virus, bombe logique, vers, cheval de Troie, etc.) installé et/ou utilisé de manière illégitime par un tiers dans le Service et/ou le Logiciel et/ou le Système d'Information d’une partie et (iii) dont le but est de porter atteinte au fonctionnement normalement attendu par les parties de tout ou partie du Service et/ou du Logiciel et/ou du Système d'Information d'une partie.

mandataire [PROJET de Règlement IA du 21 avril 2021] : toute personne physique ou morale établie dans l’Union ayant reçu mandat écrit d’un fournisseur de système d’IA pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement.

marqueur technique [article R.2321-1-3 du Code de la défense - décret n°2018-1136 du 13 décembre 2018] : éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.

marqueur technique [article R.9-12-2 du CPCE ou Code des Postes et des Communications Electroniques] ---> décret n°2018-1136 du 13 décembre 2018 : éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.

mauvaise utilisation raisonnablement prévisible [PROJET de Règlement IA du 21 avril 2021] : l’utilisation d’un système d’IA d’une manière qui n’est pas conforme à sa destination, mais qui peut résulter d’un comportement humain raisonnablement prévisible ou d’une interaction raisonnablement prévisible avec d’autres systèmes.

Mécanisme cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Terme général pour désigner une fonction de sécurité utilisant de la cryptographie.

menace [NORME internationale ISO 27000:2018] : cause potentielle d'un incident indésirable, qui peut nuire à un système ou à un organisme.

mesure de sécurité [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité] :

mesures organisationnelles [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : organisation des responsabilités (habilitation du personnel, contrôle des accès, protection physique des éléments sensibles...), gestion des ressources humaines (affectation d’agents responsables de la gestion du système d’information, formation du personnel spécialisé, sensibilisation des utilisateurs).

mesures techniques [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : produits de sécurité (matériels ou logiciels), prestations de services de confiance informatiques ou autres dispositifs de sécurité (blindage, détecteur d’intrusion...).

mesures techniques et organisationnelles [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

métadonnées [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : les données collectées sur toute activité d’une personne physique ou morale aux fins de la fourniture d’un service de partage de données, notamment la date, l’heure et les données de géolocalisation, la durée de l’activité et les connexions établies avec d’autres personnes physiques ou morales par la personne qui utilise le service.

métadonnées de communications électroniques [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l'échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l'appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication.

minibon et dispositif d'enregistrement électronique partagé [Ordonnance n°2016-520 du 28 avril 2016 relative aux bons de caisse modifiant l'article L.223-12 Code monétaire et financier] : Sans préjudice des dispositions de l'article L. 223-4, l'émission et la cession de minibons peuvent également être inscrites dans un dispositif d'enregistrement électronique partagé permettant l'authentification de ces opérations, dans des conditions, notamment de sécurité, définies par décret en Conseil d'Etat ABROGATION par Ordonnance n°2021-1735 du 22 décembre 2021 modernisant le cadre relatif au financement participatif

Mode d'intégrité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un mode d’intégrité consiste en : une fonction de génération de code d’authentification de message (MAC) prenant en entrées une clé secrète K et un message M et retournant un MAC µ ; une fonction de vérification de MAC prenant en entrées K, M et µ et retournant Vrai ou Faux. Il ne doit pas être possible pour un adversaire de générer une paire message/MAC valide originale, même s’il dispose de la possibilité d’obtenir des paires message/MAC valides de la part des utilisateurs légitimes.

Mode opératoire [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Construction cryptographique basée sur un algorithme de chiffrement par bloc.

Modes de chiffrement [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : les modes de chiffrement sont des schémas contenant une fonction de chiffrement, qui transforme un message clair en un message chiffré à l’aide d’une clé secrète, et une fonction de déchiffrement qui permet de retrouver le message clair à partir du message chiffré et de la clé. Ils sont fondés sur un algorithme de chiffrement par bloc. Il existe plusieurs notions de sécurité pour ces mécanismes. Informellement, il doit être difficile de distinguer les chiffrés de chaînes aléatoires.

module d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : produit de sécurité comportant une ressource cryptographique et qui est dédié à la mise en œuvre des fonctions d'horodatage de l'UH, notamment la génération, la conservation et la mise en œuvre de la clé privée de signature de l'UH ainsi que la génération des contremarques de temps.

mot de passe [glossaire technique en ligne de l'ANSSI] : un mot de passe est un élément de déverrouillage servant dans la vérification de l’identité annoncée d’une personne par un système d’information.

moteur de recherche en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : un service numérique qui permet aux utilisateurs de formuler des requêtes afin d’effectuer des recherches sur, en principe, tous les sites internet ou les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot-clé, d’une demande vocale, d’une expression ou d’une autre entrée, et qui renvoie des résultats dans quelque format que ce soit dans lesquels il est possible de trouver des informations en rapport avec le contenu demandé.

moyen d'identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne.

moyen d’identification électronique [ANSSI Référentiel "PVID" du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] :

moyen de cryptologie [Loi LCEN n°2004-575 du 21 juin 2004] : tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

NFT [pas de définition légale] : NFT est l'acronyme de "Non Fungible Token" ou "token non fongible". ---> voir "jeton" NDLR : "fongible" (dictionnaire Larousse en ligne) : "Se dit de choses qui se consomment par l'usage et qui peuvent être remplacées par des choses de même nature, de même qualité et de même quantité (par exemple denrées, argent comptant)".

niveau d'assurance [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : le fondement permettant de garantir qu’un produit TIC, service TIC ou processus TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité spécifique, indique le niveau auquel un produit TIC, service TIC ou processus TIC a été évalué mais, en tant que tel, ne mesure pas la sécurité du produit TIC, service TIC ou processus TIC concerné.

niveau de sécurité adapté au risque [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

Non Fungible Token ou "token non fongible" [pas de définition légale] ---> voir "jeton" NDLR : "fongible" (dictionnaire Larousse en ligne) : "Se dit de choses qui se consomment par l'usage et qui peuvent être remplacées par des choses de même nature, de même qualité et de même quantité (par exemple denrées, argent comptant)".

Non-répudiation [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Propriété qui assure qu’une entité ne peut pas renier un engagement ou une action passés.

Nonce [ANSSI guide de sélection d'algorithmes cryptographiques - 8 mars 2021] : Valeur qui ne peut être utilisée plus d’une fois.

notice d'utilisation [PROJET de Règlement IA du 21 avril 2021] : les indications communiquées par le fournisseur pour informer l’utilisateur, en particulier, de la destination et de l’utilisation correcte d’un système d’IA, y compris du contexte géographique, comportemental ou fonctionnel spécifique dans lequel le système d’IA à haut risque est destiné à être utilisé.

numéro géographique [UE 2018/1972 CCEE du 11 décembre 2018] : un numéro du plan national de numérotation dont une partie de la structure numérique a une signification géographique utilisée pour acheminer les appels vers le lieu physique du point de terminaison du réseau.

numéro non géographique [Directive CCEE n°2018/1972 du 11 décembre 2018] : un numéro du plan national de numérotation qui n’est pas un numéro géographique, tel que les numéros mobiles, les numéros d’appel gratuits et les numéros à taux majoré.

Objectif de sécurité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Objectif de prévention de menaces spécifiques et/ou de satisfaction d’une politique de sécurité. Par exemple, des objectifs de sécurité peuvent être la confidentialité des données, leur intégrité, etc.

offre au public de jetons [article L.552-3 du Code monétaire et financier] : Une offre au public de jetons consiste à proposer au public, sous quelque forme que ce soit, de souscrire à ces jetons. Ne constitue pas une offre au public de jetons l'offre de jetons ouverte à la souscription par un nombre limité de personnes, fixé par le règlement général de l'Autorité des marchés financiers, agissant pour compte propre.

OIV Opérateur d'Importance Vitale [article L.1332-1 du Code de la défense] : Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenus de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l'autorité administrative. ---> loi n°2005-1550 du 12 décembre 2005

OIV Opérateur d'Importance Vitale [article R.1332-2 du Code de la défense] : I.-Les opérateurs d'importance vitale sont désignés parmi : 1° Les opérateurs publics ou privés mentionnés à l'article L. 1332-1 ; 2° Les gestionnaires d'établissements mentionnés à l'article L. 1332-2. II.-Un opérateur d'importance vitale : 1° Exerce des activités mentionnées à l'article R. 1332-2 et comprises dans un secteur d'activités d'importance vitale ; 2° Gère ou utilise au titre de cette activité un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement : a) D'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ; b) Ou de mettre gravement en cause la santé ou la vie de la population.

opérateur [PROJET de Règlement IA du 21 avril 2021] : le fournisseur, l’utilisateur, le mandataire, l’importateur et le distributeur.

opérateur de plateforme en ligne [Loi République Numérique n°2016-1321 du 7 octobre 2016] : Est qualifiée d'opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : 1) Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2) Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service.

ordinateur [pas de définition légale] non, aucune définition légale, malgré nos recherches. Nous contacter en cas d'idée (pitié, pas celles de la Commission d'enrichissement de la langue française, qui ne propose aucune définition légale pour les contrats sur le droit du numérique).

opérateur de service essentiel - OSE [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : une entité publique ou privée avec ... les critères d'identification ... suivants : a) une entité fournit un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques; b) la fourniture de ce service tributaire des réseaux et des systèmes d'information; c) un incident aurait un effet disruptif important sur la fourniture dudit service.

pare-feu [glossaire technique en ligne de l'ANSSI] : un pare-feu (ou garde-barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.

partage de données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : la fourniture de données à un utilisateur de données par un détenteur de données, en vue d’une utilisation conjointe ou individuelle des données partagées, sur la base d’accords volontaires, directement ou via un intermédiaire.

pénalité [clause pénale] [article 1231-5 Code civil] : Lorsque le contrat stipule que celui qui manquera de l'exécuter paiera une certaine somme à titre de dommages et intérêts, il ne peut être alloué à l'autre partie une somme plus forte ni moindre. Néanmoins, le juge peut, même d'office, modérer ou augmenter la pénalité ainsi convenue si elle est manifestement excessive ou dérisoire. Lorsque l'engagement a été exécuté en partie, la pénalité convenue peut être diminuée par le juge, même d'office, à proportion de l'intérêt que l'exécution partielle a procuré au créancier, sans préjudice de l'application de l'alinéa précédent. Toute stipulation contraire aux deux alinéas précédents est réputée non écrite. Sauf inexécution définitive, la pénalité n'est encourue que lorsque le débiteur est mis en demeure.

pénalité [clause pénale] [TVA - Bulletin Officiel des Finances Publiques] :

Les pénalités de retard sont considérées comme des indemnités, ayant pour objet de sanctionner le retard pris par le fournisseur dans l'exécution du contrat et de réparer le préjudice subi, de ce fait, par le client.

Elles ne constituent pas la contrepartie d'une livraison de biens ou d'une prestation de services et ne sont donc pas situées dans le champ d'application de la TVA.

performance d'un système d'IA [PROJET de Règlement IA du 21 avril 2021 établissant des règles harmonisées concernant l'intelligence artificielle] : la capacité d’un système d’IA à remplir sa destination.

perte [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

phishing [glossaire technique en ligne de l'ANSSI] : vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.

point d'accès sans fil à portée limitée [Directive CCEE n°2018/1972 du 11 décembre 2018] : un équipement d’accès sans fil au réseau à faible puissance, de taille réduite et de portée limitée, utilisant le spectre radioélectrique sous licence ou en exemption de licence ou une combinaison de spectre radioélectrique sous licence et en exemption de licence, qui peut être utilisé comme une partie d’un réseau de communications électroniques public, qui peut être équipé d’une ou plusieurs antennes à faible impact visuel, et qui permet l’accès sans fil des utilisateurs aux réseaux de communications électroniques quelle que soit la topologie de réseau sous-jacente, qu’il s’agisse d’un réseau mobile ou fixe.

point de terminaison du réseau [Directive CCEE n°2018/1972 du 11 décembre 2018] : e point physique auquel un utilisateur final obtient l’accès à un réseau de communications électroniques public et qui est, dans le cas de réseaux utilisant la commutation et l’acheminement, identifié par une adresse réseau spécifique, qui peut être rattachée au numéro ou au nom d’un utilisateur final.

point de terminaison du réseau [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : point physique par lequel un abonné obtient l’accès à un réseau de communications public; dans le cas de réseaux utilisant la commutation et l’acheminement, le PTR est identifié par une adresse réseau spécifique qui peut être rattachée au numéro ou au nom de l’abonné.

politique d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : ensemble de règles, identifié par un nom (OID), définissant les exigences auxquelles une AH se conforme dans la mise en place et la fourniture de ses prestations et indiquant l'applicabilité d'une contremarque de temps à une communauté particulière et/ou une classe d'application avec des exigences de sécurité communes. Une PH peut également, si nécessaire, identifier les obligations et exigences portant sur les autres intervenants, notamment les abonnés et les utilisateurs de contremarques de temps.

politique de sécurité économique [décret n°2019-206 du 20 mars 2019 relatif à la gouvernance de la politique de sécurité économique] article 1er : I. - La politique de sécurité économique vise à assurer la défense et la promotion des intérêts économiques, industriels et scientifiques de la Nation, constitués notamment des actifs matériels et immatériels stratégiques pour l'économie française. Elle inclut la défense de la souveraineté numérique. II. - L'instruction des décisions proposées au conseil de défense et de sécurité nationale en matière de sécurité économique et le suivi de leur mise en œuvre sont coordonnés par le comité de liaison en matière de sécurité économique. Présidé par le secrétaire général de la défense et de la sécurité nationale, ce comité réunit, outre le coordonnateur national du renseignement et de la lutte contre le terrorisme, les représentants des ministres chargés de l'Europe et des affaires étrangères, des armées, de la transition écologique, des solidarités et de la santé, de l'économie et des finances, de l'action et des comptes publics, de l'intérieur, de l'enseignement supérieur, de la recherche et de l'innovation, de l'agriculture et de l'alimentation. Des représentants d'autres ministères peuvent également être invités en fonction de l'ordre du jour du comité. Il coordonne les actions menées par les services de l'Etat en matière de sécurité économique. Il concourt à la cohérence des politiques publiques mises en œuvre par chaque ministère concerné avec la politique de sécurité économique.

porte dérobée [glossaire technique en ligne de l'ANSSI] : accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.

posture permanente cyber [PPC] [politique ministérielle de lutte informatique défensive 2019] : la PPC est constituée de l’ensemble des dispositions adoptées pour assurer en permanence (24h/7j) la défense des systèmes informatiques du ministère [des armées]. Elle identifie quatre niveaux de menace : - jaune et orange : risques potentiels plus ou moins importants ; - rouge : risques hostiles jugés plausibles ; - écarlate : risques majeurs et simultanés. ---> NOTE : le .pdf de référence du Ministère des armées est sans date. La date retenue est celle de sa dernière consultation en ligne.

potentiel d’attaque [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : mesure de l’effort à fournir pour attaquer un service de vérification d’identité à distance, exprimée en termes d’expertise, de ressources et de motivation d’un attaquant. L’annexe B.4 du document [CC_CEM] fournit des indications relatives au calcul d’un potentiel d’attaque élevé (« high ») ou modéré (« moderate »).

prestataire de services de confiance [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié.

prestataire de services de confiance qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié.

prestation de cryptologie [Loi LCEN n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique] : toute opération visant à la mise en œuvre, pour le compte d'autrui, de moyens de cryptologie.

Primitive cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Mécanisme cryptographique utilisé pour construire un mécanisme de plus haut niveau.

processus (informatique) [NORME internationale ISO 27000:2018] : ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie. ---> voir la définition de "processus TIC"

processus TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance.

produit [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services de confiance.

produit de sécurité [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : un dispositif, de nature logicielle et/ou matérielle, dont l’utilisation est requise pour mettre en œuvre des fonctions de sécurité nécessaires à la sécurisation d’une information dématérialisée (lors d'un échange, d'un traitement et/ou du stockage de cette information). Ce terme générique couvre notamment les dispositifs de signature électronique, les dispositifs d’authentification et les dispositifs de protection de la confidentialité.

produit TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma [du système] d’information.

profilage [Règlement RGPD 2016/679 du 27 avril 2016] : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

programme d'ordinateur [Directive Logiciel n°2009/24/CE du 23 avril 2009] : les programmes sous quelque forme que ce soit, y compris ceux qui sont incorporés au matériel.

prospection directe [par communications électroniques] [article L.34-5 du "CPCE" ou Code des Postes et des Communications Electroniques] : l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. Pour l'application du présent article [L.34-5 CPCE], les appels et messages ayant pour objet d'inciter l'utilisateur ou l'abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe.

protocole blockchain [pas de définition légale] : ---> voir "DEEP" ou "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à la définition légale correspondante]

Protocole cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Protocole qui implémente une fonction de sécurité utilisant de la cryptographie et qui peut être considéré comme un schéma cryptographique interactif.

PSAP [Directive UE CCEE n°2018/1972 du 11 décembre 2018] : un lieu physique où est réceptionnée initialement une communication d’urgence sous la responsabilité d’une autorité publique ou d’un organisme privé reconnu par l’État membre.

PSAP le plus approprié [Directive CCEE n°2018/1972 du 11 décembre 2018] : un PSAP établi par les autorités compétentes pour prendre en charge les communications d’urgence provenant d’une certaine zone ou les communications d’urgence d’un certain type.

pseudonymisation [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

pseudonymisation [Règlement RGPD n°2016/679 du 27 avril 2016] : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

PTR ou point de terminaison du réseau [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : point physique par lequel un abonné obtient l’accès à un réseau de communications public; dans le cas de réseaux utilisant la commutation et l’acheminement, le PTR est identifié par une adresse réseau spécifique qui peut être rattachée au numéro ou au nom de l’abonné.

qualification [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : label, créé par l’ordonnance du 8 décembre 2005, qui permet d’attester de la confiance que l’on peut accorder à des produits de sécurité et à des prestataires de services de confiance (PSCO), ainsi que de leur conformité aux règles du RGS qui leurs sont applicables. D’autres labels existent pour attester de la compétence des professionnels, notamment en matière de SSI.

rançongiciel [glossaire technique en ligne de l'ANSSI] : forme d’extorsion imposée par un code malveillant sur un utilisateur du système. Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon. Lorsqu’un rançongiciel infecte un poste de travail, le plus souvent (mais pas nécessairement) par l’envoi d’un courrier électronique piégé, l’infection est dès lors susceptible de s’étendre au reste du système d’information (serveurs, ordinateurs, téléphonie, systèmes industriels, etc. ).

ransomware [glossaire technique en ligne de l'ANSSI] : forme d’extorsion imposée par un code malveillant sur un utilisateur du système. Le terme « rançongiciel » (ou ransomware en anglais) est une contraction des mots « rançon » et « logiciel ». Il s’agit donc par définition d’un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon. Pour y parvenir, le rançongiciel va empêcher l’utilisateur d’accéder à ses données (fichiers clients, comptabilité, factures, devis, plans, photographies, messages, etc.), par exemple en les chiffrant, puis lui indiquer les instructions utiles au paiement de la rançon. Lorsqu’un rançongiciel infecte un poste de travail, le plus souvent (mais pas nécessairement) par l’envoi d’un courrier électronique piégé, l’infection est dès lors susceptible de s’étendre au reste du système d’information (serveurs, ordinateurs, téléphonie, systèmes industriels, etc. ).

rappel d'un système d'IA [PROJET de Règlement IA du 21 avril 2021] : toute mesure visant à assurer le retour au fournisseur d’un système d’IA mis à la disposition des utilisateurs.

règles d'entreprise contraignantes [Règlement RGPD n°2016/679 du 27 avril 2016] : les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe. ---> B.C.R. ou "Binding Corporate Rules" en vEN

règles de détection [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : liste d’éléments techniques permettant d’identifier un incident à partir d’un ou de plusieurs évènements. Une règle de détection peut être un ou des marqueurs, une ou des signatures ou une règle comportementale basée sur un comportement défini comme anormal. Une règle de détection peut provenir de l’éditeur des outils techniques d’analyse utilisés pour le service de détection, du prestataire (veille sur de nouveaux incidents, règle utilisée pour un autre commanditaire avec son accord, etc.), d’un partenaire, d’un fournisseur spécialisé, ou encore avoir été créée spécifiquement pour répondre à un besoin du commanditaire.

réseau [de communications électroniques] [Directive CCEE n°2018/1972 du 11 décembre 2018] : les systèmes de transmission, qu’ils soient ou non fondés sur une infrastructure permanente ou une capacité d’administration centralisée et, le cas échéant, les équipements de commutation ou de routage et les autres ressources, y compris les éléments de réseau qui ne sont pas actifs, qui permettent l’acheminement de signaux par câble, par la voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux fixes (avec commutation de circuits ou de paquets, y compris l’internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise.

réseau [de communications électroniques] [Directive UE n°2016/1148 NIS (Network Information Security) du 6 juillet 2016] : a) un réseau de communications électroniques au sens de l’article 2, point a), de la directive 2002/21/CE ---> la Directive UE 2002/21 a été abrogée et remplacée par la Directive UE "CCEE" n°2018/1972 du 11 décembre 2018 établissant un Code des communications électroniques européen ---> Définition à jour à la date du 11 décembre 2018 <---

réseau [de communications électroniques] [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : les systèmes de transmission et, le cas échéant, les équipements de commutation ou de routage et les autres ressources, y compris les éléments de réseau qui ne sont pas actifs, qui permettent l’acheminement de signaux par câble, par voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux terrestres fixes (avec commutation de circuits ou de paquets, y compris l’internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise. ---> Directive modifiant la Directive 2002/21 qui a été abrogée et remplacée par la Directive UE "CCEE" n°2018/1972 du 11 décembre 2018 établissant un Code des communications électroniques européen

--->Définition à jour à la date du 11 décembre 2018<---

réseau [de communications électroniques] [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un réseau et système d’information au sens de l’article 4, point 1), de la directive (UE) 2016/1148. ---> la Directive UE 2016/1148 du 6 juillet 2016 se réfère à la Directive UE 2002/21 abrogée et remplacée par la Directive UE "CCEE" n°2018/1972 du 11 décembre 2018 établissant un Code des communications électroniques européen

---> Définition à jour à la date du 11 décembre 2018 <---

réseau à très haute capacité [Directive CCEE n°2018/1972 du 11 décembre 2018]: un réseau de communications électroniques qui est entièrement composé d’éléments de fibre optique au moins jusqu’au point de distribution au lieu de desserte, soit un réseau de communications électroniques qui est capable d’offrir, dans des conditions d’heures de pointe habituelles, une performance du réseau comparable en termes de débit descendant et ascendant, de résilience, de paramètres liés aux erreurs, de latence et de gigue; la performance du réseau peut être jugée comparable indépendamment des variations de l’expérience de l’utilisateur final qui sont dues aux caractéristiques intrinsèquement différentes du support par lequel se fait la connexion ultime du réseau au point de terminaison du réseau.

réseau de communications électroniques public [Directive CCEE n°2018/1972 du 11 décembre 2018] : un réseau de communications électroniques utilisé entièrement ou principalement pour la fourniture de services de communications électroniques accessibles au public permettant la transmission d’informations entre les points de terminaison du réseau.

réseau de communications public [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : un réseau de communications électroniques utilisé entièrement ou principalement pour la fourniture de services de communications électroniques accessibles au public permettant la transmission d’informations entre les points de terminaison du réseau.

réseau local hertzien [Directive CCEE n°2018/1972 du 11 décembre 2018] : un système d’accès sans fil à faible puissance, de portée limitée, présentant un faible risque de brouillage avec d’autres systèmes similaires déployés à proximité immédiate par d’autres utilisateurs et utilisant, sur une base non exclusive, du spectre radioélectrique harmonisé.

réseaux de machines zombies [glossaire technique de l'ANSSI] : un Botnet, autrement dit un réseau de bots (botnet : contraction de réseau de robots), est un réseau de machines compromises à la disposition d’un individu malveillant (le maître). Ce réseau est structuré de façon à permettre à son propriétaire de transmettre des ordres à tout ou partie des machines du botnet et de les actionner à sa guise. Remarques : Certains ensembles peuvent atteindre des nombres considérables de machines (plusieurs milliers). Celles-ci peuvent faire l’objet de commerce illicite ou d’actions malveillantes contre d’autres machines. Elles sont souvent pilotées par des commandes lancées à travers un canal de contrôle comme le service IRC (Internet Relay Chat).

résilience [cité à l'article 32.1 b) "sécurité du traitement" du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

résilience [dictionnaire Larousse en ligne] : nom féminin (anglais resilience, rebondissement) 1. capacité mécanique définissant la résistance aux chocs d’un matériau… 4. INFORMATIQUE capacité d’un système [d’information] à continuer à fonctionner, même en cas de panne" [NDLR : ou de cyber attaque]

résilience [wikipédia] : « Résilience » désigne originellement la résistance d'un matériau aux chocs ; (le « fait de rebondir », du latin resilientia, de resiliens), définition ensuite étendue à la capacité d'un corps, d'un organisme, d'une espèce, d'un système, d'une structure à surmonter une altération de son environnement. Ce concept est utilisé dans plusieurs contextes : ...

• en informatique, la résilience est la capacité d'un système ou d'une architecture réseau à continuer de fonctionner en cas de panne ;
• dans le domaine de la cybersécurité, la cyber résilience est la capacité d'un système à assurer en permanence les fonctionnalités prévues malgré des cyber-événements indésirables ;
• dans le domaine des télécommunications, la résilience des réseaux de télécommunication désigne le fait de pouvoir garantir aux utilisateurs d'un réseau de recevoir les services téléphoniques même lorsqu'une ligne ou un élément du réseau est hors d’usage ;

résilience [glossaire technique en ligne de l'ANSSI] : en informatique, capacité d’un système d’information à résister à une panne ou à une cyberattaque et à revenir à son état initial après l’incident.

résilience [NORME internationale ISO 22300:2021 FR] "Sécurité et résilience - vocabulaire" aptitude à absorber et s’adapter dans un environnement changeant

résilience organisationnelle [NORME internationale ISO 22300:2021 FR] "Sécurité et résilience - vocabulaire" aptitude d'un organisme à absorber et s’adapter dans un environnement changeant

responsable du traitement [Règlement RGPD n°2016/679 du 27 avril 2016] : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

ressources associées [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : les services associés, infrastructures physiques et autres ressources ou éléments associés à un réseau de communications électroniques et/ou à un service de communications électroniques, qui permettent et/ou soutiennent la fourniture de services via ce réseau et/ou ce service ou en ont le potentiel, et comprennent, entre autres, les bâtiments ou accès aux bâtiments, le câblage des bâtiments, les antennes, tours et autres constructions de soutènement, les gaines, conduites, pylônes, trous de visite et boîtiers.

retrait d'un système d'IA [PROJET de Règlement IA du 21 avril 2021 établissant des règles harmonisées concernant l'intelligence artificielle] : toute mesure visant à empêcher qu’un système d’IA soit distribué, présenté et proposé.

réutilisation [Directive Base de données n°96/9/CE du 11 mars 1996] : toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes. La première vente d'une copie d'une base de données dans la Communauté par le titulaire du droit, ou avec son consentement, épuise le droit de contrôler la revente de cette copie dans la Communauté.

réutilisation [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : l’utilisation, par des personnes physiques ou morales, de données détenues par des organismes du secteur public, à des fins commerciales ou non commerciales autres que l'objectif initial de la mission de service public pour lequel les données ont été produites, à l'exception de l'échange de données entre des organismes du secteur public aux seules fins de l'exercice de leur mission de service public.

risque [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : toute circonstance ou tout événement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d'information.

risque [NORME internationale ISO 27000:2018] : effet de l’incertitude sur les objectifs ("résultat à atteindre"). Note 1 : un effet est un écart, positif ou négatif, par rapport à une attente. Note 2 : L’incertitude est l’état, même partiel, de défaut d’information concernant la compréhension ou la connaissance d’un événement, de ses conséquences ou de sa vraisemblance. Note 3 : Un risque est souvent caractérisé en référence à des « événements » potentiels (tels que définis dans le Guide ISO 73 :2009, 3.5.1.3) et des « conséquences » potentielles (telles que définies dans le Guide ISO 73 :2009, 3.6.1.3), ou à une combinaison des deux. Note 4 : Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (incluant des changements de circonstances) et de sa « vraisemblance » (telle que définie dans le Guide ISO 73 :2009, 3.6.1.1). Note 5 : Dans le contexte des systèmes de management de la sécurité de l’information, les risques liés à la sécurité de l’information peuvent être exprimés comme l’effet de l’incertitude sur les objectifs de sécurité de l’information. Note 6 : Le risque lié à la sécurité de l’information est associé à la possibilité que des menaces exploitent les vulnérabilités d’un actif ou d’un groupe d’actifs informationnels et nuisent donc à un organisme.

risque lié à la sécurité de l’information [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : scénario décrivant l’effet de l’incertitude sur l’activité et exprimé en une combinaison des conséquences d’un événement lié à la sécurité de l’information et de sa probabilité d’occurrence.

RLAN [Directive CCEE n°2018/1972 du 11 décembre 2018] : un système d’accès sans fil à faible puissance, de portée limitée, présentant un faible risque de brouillage avec d’autres systèmes similaires déployés à proximité immédiate par d’autres utilisateurs et utilisant, sur une base non exclusive, du spectre radioélectrique harmonisé.

SAIV ---> voir secteurs d'activités d'importance vitale [arrêté du 6 juin 2006] Activités civiles de l’Etat Activités militaires de l’Etat Alimentation Communications électroniques, audiovisuel et information Energie [modifié à la marge par l'arrêté du 3 juillet 2008] Espace et recherche Finances Gestion de l’eau Industrie Santé Transports

liste des secteurs d'activités d'importance vitale [arrêté du 2 juin 2006] Activités civiles de l’Etat Activités militaires de l’Etat Alimentation Communications électroniques, audiovisuel et information Energie [modifié à la marge par l'arrêté du 3 juillet 2008] Espace et recherche Finances Gestion de l’eau Industrie Santé Transports

savoir-faire ou information [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : [Considérant 14] Il importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite. Cette définition devrait dès lors être élaborée de façon à couvrir les savoir-faire, les informations commerciales et les informations technologiques lorsqu'il existe à la fois un intérêt légitime à les garder confidentiels et une attente légitime de protection de cette confidentialité. Par ailleurs, ces savoir-faire ou informations devraient avoir une valeur commerciale, effective ou potentielle. Ces savoir-faire ou informations devraient être considérés comme ayant une valeur commerciale, par exemple lorsque leur obtention, utilisation ou divulgation illicite est susceptible de porter atteinte aux intérêts de la personne qui en a le contrôle de façon licite en ce qu'elle nuit au potentiel scientifique et technique de cette personne, à ses intérêts économiques ou financiers, à ses positions stratégiques ou à sa capacité concurrentielle. La définition du secret d'affaires exclut les informations courantes et l'expérience et les compétences obtenues par des travailleurs dans l'exercice normal de leurs fonctions et elle exclut également les informations qui sont généralement connues de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou qui leur sont aisément accessibles.

Schéma cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : algorithme cryptographique distribué faisant intervenir plusieurs entités (possédant généralement un secret partagé) qui atteint un objectif de sécurité.

schéma d'identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales.

schéma européen de certification de cybersécurité [ Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble complet de règles, d’exigences techniques, de normes et de procédures qui sont établies à l’échelon de [l’UE] et qui s’appliquent à la certification ou à l’évaluation de la conformité de produits TIC, services TIC ou processus TIC spécifiques.

schéma national de certification de cybersécurité [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble complet de règles, d’exigences techniques, de normes et de procédures élaborées et adoptées par une autorité publique nationale et qui s’appliquent à la certification ou à l’évaluation de la conformité des produits TIC, services TIC et processus TIC relevant de ce schéma spécifique.

Schémas symétriques d'authentification d'entité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Ces schémas permettent à une entité de prouver son identité à un correspondant en utilisant la connaissance d’un secret. Par nature, ces schémas sont interactifs. Ils consistent généralement à mettre en oeuvre un protocole de défi-réponse reposant sur l’utilisation d’aléa et d’une primitive symétrique ou d’un mécanisme de chiffrement ou d’intégrité. Nous ne donnons pas de liste pour ce type de schéma. Il est important de garder à l’esprit que même si ces schémas peuvent reposer sur le calcul d’un motif d’intégrité, leurs objectifs de sécurité sont différents de ceux des schémas d’authentification de données. Par conséquent, une même clé ne doit pas être utilisée pour un mode d’intégrité et pour un schéma symétrique d’authentification d’entité.

secret d'affaires 1 [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : [Considérant 14] Il importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite. Cette définition devrait dès lors être élaborée de façon à couvrir les savoir-faire, les informations commerciales et les informations technologiques lorsqu'il existe à la fois un intérêt légitime à les garder confidentiels et une attente légitime de protection de cette confidentialité. Par ailleurs, ces savoir-faire ou informations devraient avoir une valeur commerciale, effective ou potentielle. Cescsavoir-faire ou informations devraient être considérés comme ayant une valeur commerciale, par exemple lorsque leur obtention, utilisation ou divulgation illicite est susceptible de porter atteinte aux intérêts de la personne qui en a le contrôle de façon licite en ce qu'elle nuit au potentiel scientifique et technique de cette personne, à ses intérêts économiques ou financiers, à ses positions stratégiques ou à sa capacité concurrentielle. La définition du secret d'affaires exclut les informations courantes et l'expérience et les compétences obtenues par des travailleurs dans l'exercice normal de leurs fonctions et elle exclut également les informations qui sont généralement connues de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou qui leur sont aisément accessibles.

secret d'affaires [Directive Secrets d'affaires n°2016/943 du 8 juin 2016, Article 2] : des informations qui répondent à toutes les conditions suivantes : a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles, b) elles ont une valeur commerciale parce qu'elles sont secrètes, c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes.

secret de la défense nationale [article 413-9 du Code pénal] : Présentent un caractère de secret de la défense nationale au sens de la présente section les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers intéressant la défense nationale qui ont fait l'objet de mesures de classification destinées à restreindre leur diffusion ou leur accès. Peuvent faire l'objet de telles mesures les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation ou auxquels l'accès est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d'un secret de la défense nationale. Les niveaux de classification des procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers présentant un caractère de secret de la défense nationale et les autorités chargées de définir les modalités selon lesquelles est organisée leur protection sont déterminés par décret en Conseil d'Etat.

SAIV secteur d'activités d'importance vitale [article R.1332-2 du Code de la défense] : Un secteur d'activités d'importance vitale, mentionné au 1° du II de l'article R. 1332-1, est constitué d'activités concourant à un même objectif, qui : 1° Ont trait à la production et la distribution de biens ou de services indispensables : a) A la satisfaction des besoins essentiels pour la vie des populations ; b) Ou à l'exercice de l'autorité de l'Etat ; c) Ou au fonctionnement de l'économie ; d) Ou au maintien du potentiel de défense ; e) Ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables ; 2° Ou peuvent présenter un danger grave pour la population. Le Premier ministre fixe, par arrêté pris après avis de la commission mentionnée à l'article R. 1332-10, les secteurs d'activités d'importance vitale. Cet arrêté désigne pour chaque secteur d'activités d'importance vitale un ministre coordonnateur, qui veille à l'application des directives du gouvernement dans ce secteur, le cas échéant en liaison avec le ou les ministres dont le domaine de compétence recouvre les activités qui y sont exercées. Le ministre de la défense est le ministre coordonnateur des secteurs d'activités d'importance vitale constitués d'activités qui participent de façon directe à la satisfaction des besoins des forces armées et des formations rattachées.

sécurité [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

sécurité [données personnelles] [Règlement RGPD n°2016/679 du 27 avril 2016] : moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement [de données à caractère personnel].

sécurité d’un système d’information [ANSSI Référentiel "PASSI" du 6 octobre 2015 (Prestataires d’Audit de la Sécurité des Systèmes d’Information)] : ensemble des moyens techniques et non-techniques de protection, permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données, traitées ou transmises et des services connexes que ces systèmes offrent ou rendent accessibles.

sécurité de l'information [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : préservation de la confidentialité, l’intégrité et la disponibilité de l’information. ---> à rapprocher de la définition de "sécurité des réseaux et des systèmes d'information" dans la Directive NIS de 2016 et le projet de Directive NIS2 de 2020.

sécurité de l'information [NORME internationale ISO 27000:2018] : protection de la confidentialité, de l'intégrité et de la disponibilité de l'information.

sécurité des réseaux et des systèmes d'information [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

sécurité des réseaux et services [Directive CCEE n°2018/1972 du 11 décembre 2018] : la capacité des réseaux et services de communications électroniques de résister, à un niveau de confiance donné, à toute action qui compromet la disponibilité, l’authenticité, l’intégrité ou la confidentialité de ces réseaux et services, de données stockées, transmises ou traitées ou des services connexes offerts par ces réseaux ou services de communications électroniques ou rendus accessibles via de tels réseaux ou services.

sécurité du traitement [de données personnelles] [titre de l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

sécurité numérique [des systèmes d'information et de communication de l'Etat] [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Le système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle. Il est placé sous la responsabilité du Premier ministre, qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système. Sont exclus du champ d'application du présent titre les systèmes d'information et de communication visés au deuxième alinéa de l'article 1er du décret du 28 juin 2018 susvisé ainsi que ceux opérés par les services mentionnés à l'article D. 3126-2 du code de la défense et à l'article 1er du décret du 30 avril 2014 susvisé. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE

service d'achat ou de vente d'actifs numériques en monnaie ayant cours légal [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de conclure des contrats d'achat ou de vente pour le compte d'un tiers portant sur des actifs numériques en monnaie ayant cours légal, avec, le cas échéant, interposition du compte propre du prestataire de service.

service d'échange d'actifs numériques contre d'autres actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de conclure des contrats prévoyant l'échange pour le compte d'un tiers d'actifs numériques contre d'autres actifs numériques, avec, le cas échéant, interposition du compte propre du prestataire de service.

service d'envoi recommandé électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.

service d'envoi recommandé électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service d’envoi recommandé électronique qui satisfait aux exigences fixées à l’article 44 { du texte précité}.

service d'exploitation d'une plateforme de négociation d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de gérer une ou plusieurs plateformes de négociation d'actifs numériques, au sein desquelles de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des actifs numériques contre d'autres actifs numériques ou en monnaie ayant cours légal peuvent interagir d'une manière qui aboutisse à la conclusion de contrats.

service d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : ensemble des prestations nécessaires à la génération et à la gestion de contremarques de temps. ---> voir "contremarques de temps"

service d'informatique en nuage [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

service d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service, reconnu comme tel par l’État membre, qui fournit une assistance immédiate et rapide en cas, notamment, de risque direct pour la vie ou l’intégrité physique de personnes, pour la santé ou la sûreté publique ou individuelle, pour la propriété privée ou publique ou pour l’environnement, conformément au droit national.

service de coffre-fort numérique [Loi République Numérique n°2016-1321 du 7 octobre 2016] : un service de coffre-fort numérique est un service qui a pour objet : 1) La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine ; 2) La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l'utilisateur ; 3) L'identification de l'utilisateur lors de l'accès au service par un moyen d'identification électronique respectant l'article L. 136 ; 4) De garantir l'accès exclusif aux documents électroniques, données de l'utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l'utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l'utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; 5) De donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d'origine, dans des conditions définies par décret. Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE. Ce service de coffre-fort numérique peut bénéficier d'une certification établie selon un cahier des charges proposé par l'autorité nationale de la sécurité des systèmes d'information après avis de la Commission nationale de l'informatique et des libertés et approuvé par arrêté du ministre chargé du numérique. Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l'Etat sont définies par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés.

service de communications électroniques [Directive CCEE n°2018/1972 du 11 décembre 2018] : le service fourni normalement contre rémunération via des réseaux de communications électroniques qui, à l’exception des services consistant à fournir des contenus transmis à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus, comprend les types de services suivants : a) un «service d’accès à l’internet» défini à l’article 2, deuxième alinéa, point 2, du règlement (UE) 2015/2120 ; b) un service de communications interpersonnelles ; et c) des services consistant entièrement ou principalement en la transmission de signaux tels que les services de transmission utilisés pour la fourniture de services de machine à machine et pour la radiodiffusion.

service de communications interpersonnelles [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service normalement fourni contre rémunération qui permet l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, par lequel les personnes qui amorcent la communication ou y participent en déterminent le ou les destinataires et qui ne comprend pas les services qui rendent possible une communication interpersonnelle et interactive uniquement en tant que fonction mineure accessoire intrinsèquement liée à un autre service.

service de communications interpersonnelles fondé sur la numérotation [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications interpersonnelles qui établit une connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation ou qui permet la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation.

service de communications interpersonnelles non fondé sur la numérotation [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications interpersonnelles qui n’établit pas de connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation.

service de communications vocales [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications électroniques accessible au public permettant d’émettre et de recevoir, directement ou indirectement, des appels nationaux ou nationaux et internationaux, en composant un ou plusieurs numéros d’un plan national ou international de numérotation.

service de confiance [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service électronique normalement fourni contre rémunération qui consiste : a) en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services ; ou b) en la création, en la vérification et en la validation de certificats pour l’authentification de site internet ; ou c) en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services.

service de confiance qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service de confiance qui satisfait aux exigences du présent règlement.

service de conseil aux souscripteurs d'actifs numérique [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de fournir des recommandations personnalisées à un tiers, soit à sa demande, soit à l'initiative du prestataire qui fournit le conseil, concernant un ou plusieurs actifs numériques.

service de conservation d'actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de maîtriser, pour le compte d'un tiers, les moyens d'accès aux actifs numériques inscrits dans le dispositif d'enregistrement électronique partagé et de tenir un registre de positions, ouvert au nom du tiers, correspondants à ses droits sur lesdits actifs numériques.

service de conversation totale [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service multimédia de conversation en temps réel assurant la transmission symétrique et bidirectionnelle en temps réel de vidéos animées, de texte en temps réel et de voix entre des utilisateurs situés dans deux lieux différents ou plus.

service de gestion de portefeuille d'actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de gérer, de façon discrétionnaire et individualisée, des portefeuilles incluant un ou plusieurs actifs numériques dans le cadre d'un mandat donné par un tiers.

service de placement garanti d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de rechercher des acquéreurs pour le compte d'un émetteur d'actifs numériques et de lui garantir un montant minimal d'achats en s'engageant à acquérir les actifs numériques non placés.

service de placement non garanti d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de rechercher des acquéreurs pour le compte d'un émetteur d'actifs numériques sans lui garantir un montant d'acquisition.

service de prise ferme d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait d'acquérir directement des actifs numériques auprès d'un émetteur d'actifs numériques, en vue de procéder à leur vente.

service de réception et transmission d'ordres sur actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de recevoir et de transmettre des ordres portant sur des actifs numériques pour le compte d'un tiers .

service numérique [Directive n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services.

service numérique [Directive UE n°2019/770 du 20 mai 2019] : a) un service permettant au consommateur de créer, de traiter ou de stocker des données sous forme numérique, ou d'y accéder ; ou b) un service permettant le partage ou toute autre interaction avec des données sous forme numérique qui sont téléversées ou créées par le consommateur ou d’autres utilisateurs de ce service.

service TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information.

services associés [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : les services associés à un réseau de communications électroniques et/ou à un service de communications électroniques, qui permettent et/ou soutiennent la fourniture de services via ce réseau et/ou ce service ou en ont le potentiel, et comprennent notamment la conversion du numéro d’appel ou des systèmes offrant des fonctionnalités équivalentes, les systèmes d’accès conditionnel et les guides électroniques de programmes, ainsi que d’autres services tels que ceux relatifs à l’identité, l’emplacement et l’occupation.

services d'intermédiation en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : a) ils constituent des services de la société de l’information au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (12) ; b) ils permettent aux entreprises utilisatrices d’offrir des biens ou services aux consommateurs, en vue de faciliter l’engagement de transactions directes entre ces entreprises utilisatrices et des consommateurs, que ces transactions soient ou non finalement conclues ; c) ils sont fournis aux entreprises utilisatrices sur la base de relations contractuelles entre le fournisseur de ces services et les entreprises utilisatrices qui offrent des biens ou services aux consommateurs.

services fournis par voie électronique [Règlement géo-blocage n°2018/302 du 28 février 2018] : les services fournis sur l'internet ou sur un réseau électronique et dont la nature rend la prestation largement automatisée, accompagnée d'une intervention humaine minimale, et impossible à assurer en l'absence de technologie de l'information.

services sur actifs numériques [article L. 54-10-2 du Code Monétaire et Financier] : Les services sur actifs numériques comprennent les services suivants : 1° Le service de conservation pour le compte de tiers d'actifs numériques ou d'accès à des actifs numériques, le cas échéant sous la forme de clés cryptographiques privées, en vue de détenir, stocker et transférer des actifs numériques ; 2° Le service d'achat ou de vente d'actifs numériques en monnaie ayant cours légal ; 3° Le service d'échange d'actifs numériques contre d'autres actifs numériques ; 4° L'exploitation d'une plateforme de négociation d'actifs numériques ; 5° Les services suivants : a) La réception et la transmission d'ordres sur actifs numériques pour le compte de tiers ; b) La gestion de portefeuille d'actifs numériques pour le compte de tiers ; c) Le conseil aux souscripteurs d'actifs numériques ; d) La prise ferme d'actifs numériques ; e) Le placement garanti d'actifs numériques ; f) Le placement non garanti d'actifs numériques. Un décret précise la définition des services mentionnés au présent article. { voir le décret n°2019-1213 du 21 novembre 2019 relatif aux prestataires de services sur actifs numériques}

signataire [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une personne physique qui crée une signature électronique.

Signature [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’opération privée de signature produit à partir d’un message M et de la clé privée P r une signature σ (sigma) de ce message. L’opération publique de vérification permet de déterminer si σ est bien une signature valide de M produite en utilisant la clé privée correspondante à une clé publique P u. Il n’est pas possible de produire une signature valide pour une clé publique P u sans connaître la clé privée correspondante P r. La signature électronique permet donc au détenteur d’une clé privée de générer des signatures vérifiables par toute personne ayant accès à sa clé publique. Comme dans le cas de l’authentification de message symétrique, ce mécanisme ne protège pas contre le rejeu de messages signés. Une signature peut être conservée avec le message signé pour prouver ultérieurement à un tiers son authenticité. De plus la signature est opposable au signataire, dans la mesure où il est le seul détenteur de la clé privée permettant de la produire : on parle de non-répudiation. Cette propriété n’est pas possible avec un mécanisme symétrique d’authentification de message, car il n’est pas possible dans ce cas de séparer la capacité de vérification du motif d’authentification de la capacité de produire de tels motifs.

signature / signature électronique [article 1367 du Code civil] : la signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat.

signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer.

signature électronique avancée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une signature électronique qui satisfait aux exigences énoncées à l’article 26 [du Règlement UE 910/2014 eIDAS du 23 juillet 2014].

signature électronique qualifiée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique.

S.I.I.V. ---> voir Système d'Information d'Importance Vitale [article L.1332-6-1 du Code de la défense] : Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Ces opérateurs sont tenus d’appliquer ces règles à leurs frais. Les règles mentionnées au premier alinéa peuvent notamment prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d’information, par l’autorité nationale de sécurité des systèmes d’information ou par d’autres services de l’Etat désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre.

sonde ou système de détection [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde a pour but de générer des évènements de sécurité et est considérée comme une source de collecte dans le cadre du service de détection des incidents de sécurité.

sonde [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde est considérée comme une source de collecte dans le cadre d’un service de détection des incidents de sécurité.

sous-boucle locale [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : une boucle locale partielle qui relie le point de terminaison du réseau dans les locaux de l’abonné à un point de concentration ou à un point d’accès intermédiaire spécifié du réseau de communications électroniques public fixe.

sous-traitant [Règlement RGPD n°2016/679 du 27 avril 2016] : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

spécification technique [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un document qui établit les exigences techniques auxquelles un produit TIC, service TIC ou processus TIC doit répondre ou des procédures d’évaluation de la conformité afférentes à un produit TIC, service TIC ou processus TIC.

standard ouvert [Loi LCEN n°2004-575 du 21 juin 2004] : tout protocole de communication, d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en oeuvre.

stratégie nationale en matière de sécurité des réseaux et des systèmes d'information [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information au sens de l’article 4, point 3), de la directive (UE) 2016/1148.

stratégie nationale en matière de sécurité des réseaux et des systèmes d'information [Directive n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : un cadre prévoyant des objectifs et priorités stratégiques en matière de sécurité des réseaux et des systèmes d'information au niveau national.

suivi opérationnel [ANSSI référentiel RGS v2 du 13 juin 2014 (Référentiel Général de Sécurité)] : le suivi opérationnel consiste à collecter et à analyser les journaux d’évènements et les alarmes, à mener des audits réguliers, à appliquer des mesures correctives après un audit ou un incident, à mettre en œuvre une chaîne d’alerte en cas d’intrusion supposée ou avérée sur le système, à gérer les droits d’accès des utilisateurs, à assurer une veille sur les menaces et les vulnérabilités, à entretenir des plans de continuité et de reprise d’activité, à sensibiliser le personnel et à gérer les crises lorsqu’elles surviennent.

support durable [Directive UE n°2019/770 du 20 mai 2019] : tout instrument permettant au consommateur ou au professionnel de stocker des informations qui lui sont adressées personnellement d’une manière permettant de s’y reporter ultérieurement, pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées.

support durable [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : tout instrument permettant aux entreprises utilisatrices de stocker des informations qui leur sont personnellement adressées d’une manière permettant de s’y reporter ultérieurement pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées.

système d'accès conditionnel [Directive CCEE n°2018/1972 du 11 décembre 2018] : toute mesure technique, système d’authentification et/ou arrangement subordonnant l’accès sous une forme intelligible à un service protégé de radio ou de télévision à un abonnement ou à une autre forme d’autorisation individuelle préalable.

système d'identification biométrique à distance [PROJET de Règlement IA du 21 avril 2021] : un système d’IA destiné à identifier des personnes physiques à distance en comparant les données biométriques d’une personne avec celles qui figurent dans une base de données de référence, et sans que l’utilisateur du système d’IA ne sache au préalable si la personne sera présente et pourra être identifiée.

système d'identification biométrique à distance a posteriori [PROJET de Règlement IA du 21 avril 2021] : un système d’identification biométrique à distance autre qu’un système d’identification biométrique à distance «en temps réel».

système d'identification biométrique à distance en temps réel [PROJET de Règlement IA du 21 avril 2021] : un système d’identification biométrique à distance dans lequel l’acquisition des données biométriques, la comparaison et l’identification se déroulent sans décalage temporel significatif. Cela comprend non seulement l’identification instantanée, mais aussi avec un léger décalage afin d’éviter tout contournement des règles.

système d'information [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;

système d'information [NORME internationale ISO 27000:2018] : ensemble d'applications, services, actifs informationnels ou autres composants permettant de gérer l'information. ---> voir la définition de "système d'information" dans la Directive UE "NIS" n°2016/1148 du 6 juillet 2016 dont la rédaction prévaut sur celle de la norme ISO

système d'information [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : un dispositif isolé ou un ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ce dispositif ou cet ensemble de dispositifs en vue du fonctionnement, de l'utilisation, de la protection et de la maintenance de celui-ci.

système d'information [ANSSI Référentiel "PRIS" du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : ensemble organisé de ressources (matériel, logiciels, personnel, données et procédures) permettant de traiter et de diffuser de l’information.

système d'information administré [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : système d’information incluant les ressources administrées. [NDLR : cette définition est-elle bien utile ?]

Système d'Information d'Importance Vitale [article L.1332-6-1 du Code de la défense] : Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Ces opérateurs sont tenus d'appliquer ces règles à leurs frais. Les règles mentionnées au premier alinéa peuvent notamment prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d'information, par l'autorité nationale de sécurité des systèmes d'information ou par d'autres services de l'Etat désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre.

système d'information d’administration [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : système d’information utilisé pour administrer des ressources qui sont présentes dans un autre système d’information dit système d’information administré.

système d'information et de communication de l'Etat [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Le système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle. Il est placé sous la responsabilité du Premier ministre, qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système. Sont exclus du champ d'application du présent titre les systèmes d'information et de communication visés au deuxième alinéa de l'article 1er du décret du 28 juin 2018 susvisé ainsi que ceux opérés par les services mentionnés à l'article D. 3126-2 du code de la défense et à l'article 1er du décret du 30 avril 2014 susvisé. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE

système d'information et de communication de la défense [Décret n°2018-532 du 28 juin 2018 fixant l'organisation du système d'information et de communication de la défense et portant création de la direction générale du numérique et des systèmes d'information et de communication] : Le système d'information et de communication de la défense est constitué de l'ensemble organisé des ressources permettant de collecter, traiter, transmettre et stocker les données sous format numérique qui concourent aux missions du ministère, à l'exception des ressources mises en œuvre par la direction générale de la sécurité extérieure. Il fait partie du système d'information et de communication de l'Etat, à l'exception des systèmes d'information et de communication mentionnés aux 1° et 2° de l'article 2 et des systèmes qui font intervenir, nécessitent ou comportent des supports ou information classifiés. Le système d'information et de communication de la défense est composé d'un ensemble de systèmes, classés selon leur objet et répartis comme suit : 1° Les systèmes d'information opérationnels et de communication ; 2° Les systèmes d'information scientifiques et techniques ; 3° Les systèmes d'information, d'administration et de gestion.

système d'intelligence artificielle [PROJET de Règlement IA du 21 avril 2021] : un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit.

système de catégorisation biométrique [PROJET de Règlement IA du 21 avril 2021] : un système d’IA destiné à affecter des personnes physiques à des catégories spécifiques selon le sexe, l’âge, la couleur des cheveux, la couleur des yeux, les tatouages, l’origine ethnique ou l’orientation sexuelle ou politique, etc., sur la base de leurs données biométriques.

système de détection ou sonde [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde a pour but de générer des évènements de sécurité et est considérée comme une source de collecte dans le cadre du service de détection des incidents de sécurité.

système de reconnaissance des émotions [PROJET de Règlement IA du 21 avril 2021] : un système d’IA permettant la reconnaissance ou la déduction des émotions ou des intentions de personnes physiques sur la base de leurs données biométriques.

système de traitement automatisé de données [article 323-1 du Code pénal] : pas de définition légale. Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende.

systèmes de communication et d'appels automatisés [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les systèmes capables de passer des appels de manière automatique à un ou plusieurs destinataires conformément aux instructions établies pour ce système et de transmettre des sons ne consistant pas en une conversation de vive voix, notamment des appels effectués à l’aide de systèmes de communication et d'appel automatisés qui relient la personne appelée à une personne physique.

terminal [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : matériel informatique (téléphone portable, tablette, ordinateur, etc.) utilisé pour acquérir les données d’identification de l’utilisateur. Le terminal peut être celui de l’utilisateur, celui du prestataire ou celui du commanditaire. L’acquisition des données d’identification de l’utilisateur au travers du terminal peut être réalisée à l’aide de tous types d’applications : application mobile dédiée, navigateur, etc.

terminal [pas de définition légale] : ---> voir "équipement terminal" [article 1er, point 1) de la directive 2008/63/CE relative à la concurrence dans les marchés des équipements terminaux de télécommunications

test d'intrusion [glossaire technique de l'ANSSI] : action qui consiste à essayer plusieurs codes d’exploitation sur un système d’information, afin de déterminer ceux qui donnent des résultats positifs. Remarques : Il s’agit à la fois d’une intention défensive (mieux se protéger) et d’une action offensive (agresser son propre système d’information).

titre d’identité [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : document officiel certifiant l’identité d’une personne. Sont acceptés dans le cadre du présent référentiel les titres d’identité référencés à l’Annexe 4 du présent référentiel.

titre financier et dispositif d'enregistrement électronique partagé [article L. 211-3 du Code Monétaire et Financier] : Les titres financiers, émis en territoire français et soumis à la législation française, sont inscrits soit dans un compte-titres tenu par l'émetteur ou par l'un des intermédiaires mentionnés aux 2° à 7° de l'article L. 542-1, soit, dans le cas prévu au second alinéa de l'article L. 211-7, dans un dispositif d'enregistrement électronique partagé. L'inscription dans un dispositif d'enregistrement électronique partagé tient lieu d'inscription en compte. Un décret en Conseil d'Etat fixe les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d'enregistrement électronique partagé mentionné ci-dessus, présentant des garanties, notamment en matière d'authentification, au moins équivalentes à celles présentées par une inscription en compte-titres. ---> voir décret n°2018-1226 du 24 décembre 2018 relatif à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers et pour l'émission et la cession de minibons

traceur [Délibération CNIL cookies traceurs n°2020-091 du 17 septembre 2020] : les cookies HTTP ... les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil).

traitement [Règlement RGPD n°2016/679 du 27 avril 2016] : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

traitement transfrontalier [Règlement RGPD 2016/679 du 27 avril 2016] : a) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ; ou b) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres.

usurpation d’identité (sécurité des systèmes d'information) [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : action consistant à utiliser frauduleusement les données d’identification d’un tiers. Dans le cadre de ce référentiel, la notion d’usurpation d’identité englobe également l’altération de l’identité, consistant à utiliser des données d’identification frauduleuses qui n’appartiennent pas à une personne existante.

utilisateur [Directive UE CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : une personne physique ou morale qui utilise ou demande un service de communications électroniques accessible au public.

utilisateur [PROJET de Règlement IA du 21 avril 2021] : toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant sous sa propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel.

utilisateur de données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : une personne physique ou morale qui dispose d’un accès licite à certaines données à caractère personnel ou non personnel et qui est autorisée à les utiliser à des fins commerciales ou non commerciales.

utilisateur de site internet d'entreprise [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : toute personne physique ou morale qui utilise une interface en ligne, c’est-à-dire tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles, pour offrir des biens ou services aux consommateurs à des fins liées à son activité commerciale, industrielle, artisanale ou libérale.

utilisateur final [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : un utilisateur qui ne fournit pas de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public.

utilisation partagée du spectre radioélectrique [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’accès par deux utilisateurs ou plus, en vue de leur utilisation, aux mêmes bandes du spectre radioélectrique dans le cadre d’un dispositif de partage défini, autorisé sur le fondement d’une autorisation générale, de droits d’utilisation individuels du spectre radioélectrique ou d’une combinaison de ceux-ci, y compris des mécanismes de régulation tels que l’accès partagé sous licence destiné à faciliter l’utilisation partagée d’une bande du spectre radioélectrique, sous réserve d’un accord contraignant entre toutes les parties concernées, conformément aux règles de partage incluses dans leurs droits d’utilisation du spectre radioélectrique, afin de garantir à tous les utilisateurs des dispositifs de partage prévisibles et fiables, et sans préjudice de l’application du droit de la concurrence.

valeur mobilière et dispositif d'enregistrement électronique partagé [article L. 228-1 du Code de commerce]: Les sociétés par actions émettent toutes valeurs mobilières dans les conditions du présent livre. Les valeurs mobilières sont des titres financiers au sens de l'article L. 211-1 du code monétaire et financier, qui confèrent des droits identiques par catégorie. Les valeurs mobilières émises par les sociétés par actions revêtent la forme de titres au porteur ou de titres nominatifs, sauf pour les sociétés pour lesquelles la loi ou les statuts imposent la seule forme nominative, pour tout ou partie du capital. Nonobstant toute convention contraire, tout propriétaire dont les titres font partie d'une émission comprenant à la fois des titres au porteur et des titres nominatifs a la faculté de convertir ses titres dans l'autre forme. Toutefois, la conversion des titres nominatifs n'est pas possible s'agissant des sociétés pour lesquelles la loi ou les statuts imposent la forme nominative pour tout ou partie du capital. Ces valeurs mobilières, quelle que soit leur forme, doivent être inscrites en compte ou dans un dispositif d'enregistrement électronique partagé au nom de leur propriétaire, dans les conditions prévues aux articles L. 211-3 et L. 211-4 du code monétaire et financier. Toutefois, lorsque des titres de capital ou des obligations de la société ont été admis aux négociations sur un ou plusieurs marchés réglementés ou systèmes multilatéraux de négociation agréés en France ou dans un autre Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen, ou sur un marché considéré comme équivalent à un marché réglementé par la Commission européenne en application du a du 4 de l'article 25 de la directive 2014/65/ UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d'instruments financiers et modifiant la directive 2002/92/ CE et la directive 2011/61/ UE, et que leur propriétaire n'a pas son domicile sur le territoire français au sens de l'article 102 du code civil, tout intermédiaire peut être inscrit pour le compte de ce propriétaire. Lorsque des titres de capital ou des obligations de la société ont été admis aux négociations uniquement sur un ou plusieurs marchés considérés comme équivalent à un marché réglementé par la Commission européenne en application du a du 4 de l'article 25 de la directive 2014/65/ UE du Parlement européen et du Conseil du 15 mai 2014 précitée, cette inscription peut être faite pour le compte de tout propriétaire. L'inscription de l'intermédiaire peut être faite sous la forme d'un compte collectif ou en plusieurs comptes individuels correspondant chacun à un propriétaire. L'intermédiaire inscrit est tenu, au moment de l'ouverture de son compte auprès soit de la société émettrice, soit de l'intermédiaire mentionné à l'article L. 211-3 du code monétaire et financier qui tient le compte-titres, de déclarer, dans les conditions fixées par décret, sa qualité d'intermédiaire détenant des titres pour le compte d'autrui. En cas de cession de valeurs mobilières admises aux opérations d'un dépositaire central ou livrées dans un système de règlement et de livraison mentionné à l'article L. 330-1 du code monétaire et financier, le transfert de propriété s'effectue dans les conditions prévues à l'article L. 211-17 de ce code. Dans les autres cas, le transfert de propriété résulte de l'inscription des valeurs mobilières au compte de l'acheteur ou dans un dispositif d'enregistrement électronique partagé, dans des conditions fixées par décret en Conseil d'Etat.

Valeurs aléatoires [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : la mise en œuvre de mécanismes cryptographiques peut nécessiter l’utilisation de valeurs générées aléatoirement. Ces valeurs ne sont pas nécessairement destinées à rester secrètes, mais elles doivent avoir la distribution de probabilité attendue, et elles doivent aussi être tirées avec un bon générateur aléatoire ; il s’agit par exemple des vecteurs d’initialisation (Initialization Vectors ou IV) nécessaires à certains mécanismes de chiffrement symétrique probabilistes. De telles valeurs ne doivent jamais être utilisées plusieurs fois sous peine d’effondrement potentiel de la sécurité du mécanisme qui les emploie (les longueurs des IV employés en cryptographie – normalement au moins 128 bits – garantissent que la probabilité de répétition « par hasard » est négligeable).

Valeurs uniques (dites nonces) [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : La mise en œuvre de mécanismes cryptographiques peut nécessiter l’utilisation de valeurs non aléatoires, mais avec une garantie de non-réutilisation. La violation de cette propriété d’unicité peut avoir des conséquences dramatiques sur la sécurité du mécanisme qui les emploie, comme dans le cas des IV des algorithmes de chiffrement par flot. Dans certains contextes, un compteur incrémenté à chaque utilisation peut être utilisé comme nonce s’il est de taille suffisante pour éviter le dépassement de sa capacité.

validation [Règlement eIDAS n°910/2014 du 23 juillet 2014] : le processus de vérification et de confirmation de la validité d’une signature ou d’un cachet électronique.

veille sur les menaces et les vulnérabilité [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : Se tenir informé sur l’évolution des menaces et des vulnérabilités, en identifiant les incidents qu’elles favorisent ainsi que leurs impacts potentiels, constitue une mesure fondamentale de défense. Les sites institutionnels, comme celui du CERT-FR (www.cert.ssi.gouv.fr), ou ceux des éditeurs de logiciels et de matériels constituent des sources d’information essentielles sur les vulnérabilités identifiées, ainsi que sur les contre-mesures et les correctifs éventuels. Les mises à jour des logiciels et d’autres équipements, les correctifs des systèmes d’exploitation et des applications font l’objet d’alertes et d’avis qu’il est indispensable de suivre.

ver [glossaire technique de l'ANSSI] : un ver (ou worm) est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.

violation de données [à caractère personnel] [article 4 Règlement RGPD n°2016/679 du 27 avril 2016] : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. ---> NDLR : l'article 32.2 RGPD reprend la même définition : "Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite".

virus [glossaire technique de l'ANSSI] : un virus est un programme ou morceau de programme malveillant dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, etc.) et, bien souvent, d’en atteindre ou d’en parasiter les ressources (données, mémoire, réseau). Le mode de survie peut prendre plusieurs formes : réplication, implantation au sein de programmes légitimes, persistance en mémoire, etc. Pour sa propagation, un virus utilise tous les moyens disponibles : messagerie, partage de fichiers, portes dérobées, page internet frauduleuse, clés USB…

vulnérabilité [ANSSI Référentiel PRIS v2 du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : faiblesse d’un bien ou d’une mesure pouvant être exploitée par une menace ou un groupe de menaces. ---> à rapprocher de la définition de "vulnérabilité" [PROJET de Directive NIS2 du 16 décembre 2020 (Network Information Security)] : une faiblesse, une susceptibilité ou la faille d’un bien, d’un système, d’un processus ou d’un contrôle qui peut être exploitée par une cybermenace.

vulnérabilité [glossaire technique de l'ANSSI] : Faute, par malveillance ou maladresse, dans les spécifications, la conception, la réalisation, l’installation ou la configuration d’un système, ou dans la façon de l’utiliser. Remarques : Une vulnérabilité peut être utilisée par un code d’exploitation et conduire à une intrusion dans le système.

vulnérabilité [NORME internationale ISO 27000:2018] : faille dans un actif ou dans une mesure de sécurité qui peut être exploitée par une ou plusieurs menaces.

vulnérabilité [proposition de clause contractuelle v03-2022] : désigne une menace de Compromission pour un service TIC (comme le Service) et/ou un processus TIC ou un produit TIC (comme le Logiciel) ou de manière générale, le Système d'Information d'une partie provenant "de ses spécifications, de sa conception, de sa réalisation, de son installation, de sa configuration ou de son utilisation" (glossaire de l'ANSSI) (vulnérabilité mathématique, protocolaire ou d'implémentation d'un algorithme ou d'un programme d'ordinateur). D'un commun accord des parties, la criticité des Vulnérabilités est appréciée selon la méthode N.I.S.T CVSS (Common Vulnerability Scoring System) version 3.x.

worm / ver [glossaire technique de l'ANSSI] : un ver (ou worm) est un logiciel malveillant indépendant, cherchant à propager son code au plus grand nombre de cibles, puis de l’exécuter sur ces mêmes cibles. Il perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs.

X [pas de définition légale commençant par la lettre "X"] : NDLR : nous cherchons avec assiduité. Résultat actuel : nul.

Y [pas de définition légale commençant par la lettre "Y"] : Dès qu'on en trouve une, on vous la proposera. Promis.

zone de confiance (informatique en nuage) [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : ensemble des ressources informatiques regroupées en fonction de l’homogénéité de facteurs divers, liés ou non à la sécurité (ex : exposition aux menaces, vulnérabilités résiduelles technologiques intrinsèques, localisation géographique, etc.).

réseau et système d'information [Directive UE "NISv2" - 2022/2555 -14 décembre 2022] : a) un réseau de communications électroniques au sens del ’article2, point 1),de la directive(UE)2018/1972 ; b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques ; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance.

sécurité des réseaux et des systèmes d’information [Directive NISv2 - 2022/2555 - 14 décembre 2022] : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles.

stratégie nationale en matière de cybersécurité [Directive NISv2 - 2022/2555- 14 décembre 2022] : le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre.

incident évité [Directive NISv2 - 2022/2555 - 14 décembre 2022] : un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, mais dont la réalisation a pu être empêchée ou ne s’est pas produite.

incident [Directive NISv2 - 2022/2555- 14 décembre 2022] : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles.

incident de cybersécurité majeur [Directive NISv2 - 2022/2555 -14 décembre 2022] : : un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres.

traitements des incidents [Directive NISv2 - 2022/2555 -14 décembre 2022] : toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier.

risque [Directive NISv2 - 2022/2555 - 14 décembre 2022] : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise.

cyber menace importante [Directive NISv2 - 2022/2555 - 14 décembre 2022] : une cyber menace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable.

vulnérabilité [Directive NISv2 - 2022/2555 - 14 décembre 2022] : une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cyber menace.

point d'échange internet [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une structure de réseau qui permet l’ interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet, qui n’assure l’interconnexion que pour des systèmes autonomes et qui n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic.

système de noms de domaine ou DNS [[Directive NISv2 n°2022/2555 du 14 décembre 2022] : un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources.

fournisseur de services DNS [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une entité qui fournit: a) des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet ; ou b) des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines ;

registre de noms de domaine de premier niveau [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;

entité fournissant des services d’enregistrement de noms de domain [Directive NISv2 n°2022/2555 du 14 décembre 2022] : un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire.

service d'informatique en nuage [Directive NISv2 n°2022/2555 du 14 décembre 2022E] : un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits.

service de centre de donnée [Directive NISv2 n°2022/2555 du 14 décembre 2022] : un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental.

réseau de diffusion de contenu [Directive NISv2 n°2022/2555 du 14 décembre 2022] : un réseau de serveurs géographiquement répartis visant à assurer la haute disponibilité, l’accessibilité ou la fourniture rapide de contenu et de services numériques aux utilisateurs d’internet pour le compte de fournisseurs de contenu et de services.

plateforme de services de réseaux sociaux [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations.

représentant [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une personne physique ou morale établie dans l’ Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente directive.

fournisseur de services gérés [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance.

fournisseur de services de sécurité gérés Directive NISv2 n°2022/2555 du 14 décembre 2022] : un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;

organisme de recherche [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une entité dont l’objectif premier est de mener des activités de recherche appliquée ou de développement expérimental en vue d’exploiter les résultats de cette recherche à des fins commerciales, à l’exclusion des établissements d’enseignement.

résilience opérationnelle numérique [Règlement DORA n°2022/2554 du 14 décembre 2022] : la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations.

système de TIC hérité [Règlement DORA n°2022/2554 du 14 décembre 2022] : un système de TIC qui a atteint la fin de son cycle de vie (fin de vie), qui ne se prête pas à des mises à jour ou des corrections, pour des raisons technologiques ou commerciales, ou qui n’est plus pris en charge par son fournisseur ou par un prestataire tiers de services TIC, mais qui est toujours utilisé et soutient les fonctions de l’entité financière.

risque lié aux TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique.

actif d'information [Règlement DORA n°2022/2554 du 14 décembre 2022] : un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection.

actif de TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière.

incident lié aux TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière.

incident opérationnel ou de sécurité lié au paiement [Règlement DORA n°2022/2554 du 14 décembre 2022] : un événement ou une série d’événements liés entre eux que les entités financières visées à l’article 2, paragraphe 1, points a) à d), n’ont pas prévu, lié ou non aux TIC, qui a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données liées au paiement ou sur les services liés au paiement fournis par l’entité financière.

incident majeur lié aux TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière.

incident opérationnel ou de sécurité majeur lié au paiement [[Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident opérationnel ou de sécurité lié au paiement qui a une incidence négative élevée sur les services fournis liés au paiement.

cybermenace importante [Règlement DORA n°2022/2554 du 14 décembre 2022] : une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement.

cyberattaque [Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace.

renseignements sur les menaces [Règlement DORA n°2022/2554 du 14 décembre 2022] : les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations.

vulnérabilité [Règlement DORA n°2022/2554 du 14 décembre 2022] : une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peuvent être exploités.

tests de pénétration fondés sur la menace [Règlement DORA n°2022/2554 du 14 décembre 2022] : un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière.

risque lié aux prestataires tiers de services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation.

prestataire tiers de services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fournit des services TIC.

prestataire de services TIC intra-groupe [Règlement DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité.

services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels.

fonction critique ou importante [Règlement DORA n°2022/2554 du 14 décembre 2022] : une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers.

prestataire tiers critique de services TIC [Règlement DORA n° 2022/2554 du 14 décembre 2022] : un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31.

prestataire tiers de services TIC établi dans un pays tiers [Règlement DORA n°2022/2554 du 14 décembre 2022] : un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC.

risque informatique [Directive DORA n°2022/2554 du 14 décembre 2022] : toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information,– y compris un dysfonctionnement, un dépassement de capacité, une défaillance, une perturbation, une altération, une mauvaise utilisation, une perte ou tout autre type d’événement, malveillant ou non – qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et de l’exécution des processus ou de la fourniture de services, compromettant ainsi l’intégrité ou la disponibilité des données, des logiciels ou de tout autre composante des services et infrastructures informatiques, ou entraînant une violation de la confidentialité, un dommage à l’infrastructure informatique physique ou d’autres effets préjudiciables.

incident lié à l’informatique [Directive DORA n°2022/2554 du 14 décembre 2022] : un événement imprévu détecté dans les réseaux et les systèmes d’information, qu’il résulte ou non d’une activité malveillante, qui compromet la sécurité des réseaux et des systèmes d’information, des informations que ces systèmes traitent, stockent ou transmettent, ou qui a des effets préjudiciables sur la disponibilité, la confidentialité, la continuité ou l’authenticité des services financiers fournis par l’entité financière.

défense en profondeur [Directive DORA n°2022/2554 du 14 décembre 2022] : une stratégie liée à l’informatique intégrant des personnes, des processus et des technologies afin d’établir des barrières diverses à travers les multiples couches et dimensions de l’entité.

tiers prestataire de services informatiques [Directive DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fournit des services numériques et de données, y compris les fournisseurs de services d’informatique en nuage, de logiciels, de services d’analyse de données, de centres de données, mais à l’exclusion des fournisseurs de composants matériels et des entreprises agréées en vertu du droit de l’Union qui fournissent des services de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972 du Parlement européen et du Conseil.

services informatiques [Directive DORA n°2022/2554 du 14 décembre 2022] : les services numériques et de données fournis par l’intermédiaire des systèmes informatiques à un ou plusieurs utilisateurs internes ou externes, dont la fourniture de données, la saisie de données, le stockage de données, le traitement des données et les services de notification, le suivi des données ainsi que les services de soutien opérationnel et décisionnel fondés sur les données.

tiers prestataire critique de services informatiques [Directive DORA n°2022/2554 du 14 décembre 2022] : un tiers prestataire de services informatiques désigné conformément à l’article 29 et soumis au cadre de supervision visé aux articles 30 à 37.

tiers prestataire de services informatiques établi dans un pays tiers [Directive DORA n°2022/2554 du 14 décembre 2022] : un tiers prestataire de services informatiques qui est une personne morale établie dans un pays tiers, qui n’a pas établi d’activité ou de présence dans l’Union et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services informatiques.

sous-traitant informatique établi dans un pays tiers [Directive DORA n°2022/2554 du 14 décembre 2022] : un sous-traitant informatique qui est une personne morale établie dans un pays tiers, qui n’a pas établi d’activité ou de présence dans l’Union et qui a conclu un accord contractuel soit avec un tiers prestataire de services informatiques, soit avec un tiers prestataire de services informatiques établi dans un pays tiers.

risque de concentration informatique [Directive DORA n°2022/2554 du 14 décembre 2022] : une exposition à des tiers prestataires critiques de services informatiques individuels ou multiples et liés, créant un degré de dépendance à l’égard de ces prestataires, de sorte que l’indisponibilité, la défaillance ou tout autre type d’insuffisance de ces derniers peut potentiellement mettre en péril la capacité d’une entité financière, et en fin de compte du système financier de l’Union dans son ensemble, à assurer des fonctions critiques, ou à faire face à d’autres types d’effets préjudiciables, y compris des pertes importantes.

entité critique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe.

résilience [Directive Entités critiques n° 2022/2557 du 14 décembre 2022] : la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir.

incident [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit.

infrastructure critique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel.

service essentiel [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement.

risque [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise.

évaluation des risques [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident.

entité de l’administration publique» [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une entité reconnue comme telle dans un État membre conformément au droit national, à l’exclusion de l’organisation judiciaire, des parlements et des banques centrales, qui satisfait aux critères suivants: a) elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial; b) elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique; c) elleestfinancéemajoritairementparlesautoritésdel’Étatoud’autresorganismesdedroitpublicdeniveaucentral, ou sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé, pour plus de la moitié, de membres désignés par les autorités de l’État ou d’autres organismes de droit public de niveau central; d) elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux.

norme [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil.

spécification technique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012.

actions d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : Ensemble des actions d’installation, de suppression, de modification et de consultation de la configuration d’un système participant au système d’information du service et susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.

audit [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les exigences d’un référentiel sont satisfaites.

bien [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : tout élément représentant de la valeur pour le service à qualifier.

changement majeur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : toute action planifiée par le prestataire et susceptible, par sa nature ou sa portée, de compromettre la sécurité du service (exemple : modification de l’organisation, modification d’une procédure, ajout, modification ou suppression d’un composant de l’infrastructure technique).

cloud computing (informatique en nuage) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : modèle permettant un accès aisé, généralement à la demande, et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.

commanditaire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : entité faisant appel à un prestataire de services d’informatique en nuage.

conteneur (container) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : instance d’exécution en espace utilisateur, isolée des autres instances par des mécanismes d’abstraction fournis par le noyau d’un système d’exploitation.

état de l'art [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine réglementaire.

hébergement externe partagé [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : modèle permettant un accès aisé et au travers d’un réseau, à un ensemble de ressources informatiques partagées et configurables.

incident lié à la sécurité de l’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : un ou plusieurs événement(s) liés à la sécurité de l’information, indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme ou de menacer la sécurité de l’information.

infrastructure technique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des composants matériels et logiciels nécessaires à la fourniture d’un service d’informatique en nuage (IaaS, CaaS, PaaS, SaaS, etc.).

interface d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : interface logicielle permettant à une entité disposant des privilèges requis (un administrateur, un compte de service, un développeur « DevOps », etc.) de réaliser des actions d’administration d’un système d’information.

intergiciel (middleware) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : logiciel qui se trouve entre un système d’exploitation et les applications qui s’exécutent sur celui-ci, afin de faciliter les interactions entre elles.

menace [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : cause potentielle d’un incident indésirable pouvant nuire à un système ou à un organisme.

mot défini [PROJET - REF - DATE] : mesure qui modifie la vraisemblance ou la gravité d’un risque. Elle comprend la politique, les procédures, les lignes directrices, et les pratiques ou structures organisationnelles, et peut être de nature administrative, technique, managériale ou juridique.

politique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : intentions et orientations d’un organisme telles que formalisées par sa direction.

prestataire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : organisme proposant un service d’informatique en nuage et visant la qualification.

prestataire d'audit de la sécurité des systèmes d'information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : organisme réalisant des prestations d’audit de la sécurité des systèmes d’information. Il est dit qualifié si un organisme de qualification a attesté de sa conformité au Référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information.

ressources virtualisées [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : abstraction des ressources matérielles d’un système (CPU, RAM, etc.) qui sont mises à disposition par l’infrastructure technique.

risque [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : effet de l’incertitude sur l’atteinte des objectifs. Il est exprimé en termes de combinaison des conséquences d’un événement et de sa vraisemblance.

sécurité d'un système d’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des moyens techniques et non-techniques de protection permettant à un système d’information d’assurer la disponibilité, l’intégrité et la confidentialité des données, traitées ou transmises, et des services connexes que ces systèmes offrent ou rendent accessibles.

supervision [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : surveillance du bon fonctionnement d’un système d’information ou d’un service. Elle concerne la collecte de données (mesures, alarmes, etc.) mais elle ne permet pas d’agir sur l’élément surveillé (ce qui relève des tâches d’administration).

support (technique) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des actions de diagnostic ayant pour finalité la résolution des problèmes rencontrés par les commanditaires. Par défaut, aucun accès aux données des commanditaires n’est autorisé dans le cadre de ces tâches. Si la résolution du problème nécessite une action de la part du prestataire, cette dernière relève dès lors de l’administration et doit être effectuée dans les conditions idoines.

système d’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble organisé de ressources (matériels, logiciels, personnels, données et procédures) permettant de traiter et de diffuser de l’information.

vulnérabilité [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : faiblesse d’un bien ou d’une mesure pouvant être exploitée par une menace ou un groupe de menaces.

administrateur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : utilisateur disposant de droits privilégiés lui permettant de réaliser les tâches d’administration qui lui sont attribuées.

administrateur d'infrastructure [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : administrateur en charge de la gestion et du maintien en conditions opérationnelles et en condition de sécurité de l’infrastructure technique du service.

utilisateur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : Toute personne disposant d’un compte dans le périmètre du service. Ce terme générique englobe les utilisateurs finaux et les administrateurs.

utilisateur final [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : personne jouissant in fine du service mis en œuvre. Il peut s’agir du personnel du commanditaire dans le cas d’un service interne, ou de ses propres commanditaires dans le cas d’un service proposé à l’extérieur.

service de la société de l’information [Règlement UE 2022/2065 « DSA » du 19 octobre 2022 ] : un service tel qu’il est défini à l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 (tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services) ;

destinataire du service [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute personne physique ou morale utilisant un service intermédiaire, notamment pour rechercher une information ou la rendre accessible.

consommateur [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute personne physique agissant à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale.

proposer des services dans l'Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : permettre aux personnes physiques ou morales dans un ou plusieurs États membres d’utiliser les services d’un fournisseur de services intermédiaires qui a un lien étroit avec l’Union.

lien étroit avec l’Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un lien qu’un fournisseur de services intermédiaires a avec l’Union résultant soit de son établissement dans l’Union, soit de critères factuels spécifiques, tels que : — un nombre significatif de destinataires du service dans un ou plusieurs États membres par rapport à sa ou à leur population; ou — le ciblage des activités sur un ou plusieurs États membres;

professionnel [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute personne physique, ou toute personne morale qu’elle soit privée ou publique, qui agit, y compris par l’intermédiaire d’une personne agissant en son nom ou pour son compte, à des fins entrant dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;

service intermédiaire [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un des services de la société de l’information suivants : i) un service de “simple transport”, consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service ou à fournir l’accès à un réseau de communication; ii) un service de “mise en cache”, consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, impliquant le stockage automatique, intermédiaire et temporaire de ces informations, effectué dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires à leur demande; iii) un service d’”hébergement”, consistant à stocker des informations fournies par un destinataire du service à sa demande;

contenu illicite [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit ;

plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un service d’hébergement qui, à la demande d’un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d’un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l’intégration de cette caractéristique ou de cette fonctionnalité à l’autre service ne soit pas un moyen de contourner l’applicabilité du présent règlement ;

moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un service intermédiaire qui permet aux utilisateurs de formuler des requêtes afin d’effectuer des recherches sur, en principe, tous les sites internet ou tous les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot-clé, d’une demande vocale, d’une expression ou d’une autre entrée, et qui renvoie des résultats dans quelque format que ce soit dans lesquels il est possible de trouver des informations en rapport avec le contenu demandé.

diffusion au public [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le fait de mettre des informations à la disposition d’un nombre potentiellement illimité de tiers, à la demande du destinataire du service ayant fourni ces informations.

contrat à distance [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le “contrat à distance” tel qu’il est défini à l’article 2, point 7), de la directive 2011/83/UE (tout contrat conclu entre le profes­ sionnel et le consommateur, dans le cadre d’un système organisé de vente ou de prestation de service à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu’au moment, et y compris au moment, où le contrat est conclu) .

interface en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles.

coordinateur pour les services numériques de l’État membre d’établissement [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le coordinateur pour les services numériques de l’État membre dans lequel l’établissement principal d’un fournisseur d’un service intermédiaire est situé, ou dans lequel son représentant légal réside ou est établi.

coordinateur pour les services numériques de l’État membre de destination [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le coordinateur pour les services numériques d’un État membre dans lequel le service intermédiaire est fourni.

destinataire actif d’une plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un destinataire du service qui a été en contact avec une plateforme en ligne, soit en demandant à la plateforme en ligne d’héberger des informations, soit en étant exposé aux informations hébergées par la plateforme en ligne et diffusées via son interface en ligne.

destinataire actif d’un moteur de recherche en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un destinataire du service qui a soumis une requête à un moteur de recherche en ligne et a été exposé aux informations indexées et présentées sur son interface en ligne.

publicité [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les informations destinées à promouvoir le message d’une personne physique ou morale, qu’elles aient des visées commerciales ou non commerciales, et présentées par une plateforme en ligne sur son interface en ligne, moyennant rémunération, dans le but spécifique de promouvoir ces informations.

système de recommandation [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un système entièrement ou partiellement automatisé utilisé par une plateforme en ligne pour suggérer sur son interface en ligne des informations spécifiques aux destinataires du service ou pour hiérarchiser ces informations, notamment à la suite d’une recherche lancée par le destinataire du service ou en déterminant de toute autre manière l’ordre relatif ou d’importance des informations affichées;

modération des contenus [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les activités, qu’elles soient automatisées ou non, entreprises par des fournisseurs de services intermédiaires qui sont destinées, en particulier, à détecter et à identifier les contenus illicites ou les informations incompatibles avec leurs conditions générales, fournis par les destinataires du service, et à lutter contre ces contenus ou ces informations, y compris les mesures prises qui ont une incidence sur la disponibilité, la visibilité et l’accessibilité de ces contenus ou ces informations, telles que leur rétrogradation, leur démonétisation, le fait de rendre l’accès à ceux-ci impossible ou leur retrait, ou qui ont une incidence sur la capacité des destinataires du service à fournir ces informations, telles que la suppression ou la suspension du compte d’un destinataire.

conditions générales [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toutes les clauses, quelle que soit leur dénomination ou leur forme, qui régissent la relation contractuelle entre le fournisseur de services intermédiaires et les destinataires du service.

personnes handicapées [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les “personnes handicapées” visées à l’article 3, point 1), de la directive (UE) 2019/882 du Parlement européen et du Conseil (les personnes qui présentent une incapacité physique, mentale, intellectuelle ou sensorielle durable dont l’interaction avec diverses barrières peut faire obstacle à leur pleine et effective participation à la société sur la base de l’égalité avec les autres) ;

communication commerciale [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : la “communication commerciale” telle qu’elle est définie à l’article 2, point f), de la directive 2000/31/CE (toute forme de communication destinée à promouvoir, directement ou indirectement, des biens, des services, ou l'image d'une entreprise, d'une organisation ou d'une personne ayant une activité commerciale, industrielle, artisanale ou exerçant une profession réglementée. Ne constituent pas en tant que telles des communications commerciales: - les informations permettant l'accès direct à l'activité de l'entreprise, de l'organisation ou de la personne, notamment un nom de domaine ou une adresse de courrier électronique, - les communications relatives aux biens, aux services ou à l'image de l'entreprise, de l'organisation ou de la personne élaborées d'une manière indépendante, en particulier lorsqu'elles sont fournies sans contrepartie financière) ;

chiffre d’affaires [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : le montant atteint par une entreprise au sens de l’article 5, paragraphe 1, du règlement (CE) n° 139/2004 du Conseil (Le chiffre d'affaires total au sens du présent règlement comprend les montants résultant de la vente de produits et de la prestation de services réalisées par les entreprises concernées au cours du dernier exercice et correspondant à leurs activités ordinaires, déduction faite des réductions sur ventes ainsi que de la taxe sur la valeur ajoutée et d'autres impôts directement liés au chiffre d'affaires. Le chiffre d'affaires total d'une entreprise concernée ne tient pas compte des transactions intervenues entre les entreprises visées au paragraphe 4 du présent article. Le chiffre d'affaires réalisé soit dans la Communauté, soit dans un État membre, comprend les produits vendus et les services fournis à des entreprises ou des consommateurs soit dans la Communauté, soit dans cet État membre.).

éditeur de logiciel [article L. 2321-4-1 du Code de la défense modifié par la LPM du 1er août 2023] : toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.

incident informatique [Article L. 2321-4-1 du Code de la défense modifié par la LPM du 1er août 2023] : tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles.

sauvegarde [Jurisprudence OVH - Tribunal de commerce de Lille Métropole, jugement du 26 janvier 2023] : la sauvegarde a pour objet de mettre en sécurité les données pour pouvoir les restaurer dans le cas où un incident (panne, cyberattaque, inondation, incendie, sinistre quelconque …) touche le serveur principal. La sauvegarde n’a donc d’intérêt précisément qu’en cas de sinistre et a fortiori en cas d’incendie.