abonné [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : entité ayant besoin de faire horodater des données par une Autorité d'horodatage et qui a accepté les conditions d'utilisation de ses services.

accès [Directive UE "CCEE" n°2018/1972 du 11 décembre 2018] : la mise à la disposition d’une autre entreprise, dans des conditions bien définies et de manière exclusive ou non exclusive, de ressources ou de services en vue de la fourniture de services de communications électroniques, y compris lorsqu’ils servent à la fourniture de services de la société de l’information ou de services de contenu radiodiffusé; cela couvre entre autres: l’accès à des éléments de réseau et à des ressources associées, ce qui peut comprendre la connexion des équipements par des moyens fixes ou non (cela comprend en particulier l’accès à la boucle locale ainsi qu’aux ressources et services nécessaires à la fourniture de services par la boucle locale); l’accès à l’infrastructure physique, y compris aux bâtiments, gaines et pylônes; l’accès aux systèmes logiciels pertinents, y compris aux systèmes d’assistance à l’exploitation; l’accès aux systèmes d’information ou aux bases de données pour la préparation de commandes, l’approvisionnement, la commande, les demandes de maintenance et de réparation et la facturation; l’accès à la conversion du numéro d’appel ou à des systèmes offrant des fonctionnalités équivalentes; l’accès aux réseaux fixes et mobiles, notamment pour l’itinérance; l’accès aux systèmes d’accès conditionnel pour les services de télévision numérique et l’accès aux services de réseaux virtuels.

accès [Directive UE "Paquet Télécom II" n°2009/140/CE du 25 novembre 2009] : la mise à la disposition d’une autre entreprise, dans des conditions bien définies et de manière exclusive ou non exclusive, de ressources et/ou de services en vue de la fourniture de services de communications électroniques, y compris lorsqu’ils servent à la fourniture de services de la société de l’information ou de contenu radiodiffusé. Cela couvre notamment: l’accès à des éléments de réseaux et à des ressources associées et éventuellement à la connexion des équipements par des moyens fixes ou non (cela comprend en particulier l’accès à la boucle locale ainsi qu’aux ressources et services nécessaires à la fourniture de services par la boucle locale); l’accès à l’infrastructure physique, y compris aux bâtiments, gaines et pylônes; l’accès aux systèmes logiciels pertinents, y compris aux systèmes d’assistance à l’exploitation; l’accès aux systèmes d’information ou aux bases de données pour la préparation de commandes, l’approvisionnement, la commande, les demandes de maintenance et de réparation et la facturation; l’accès à la conversion du numéro d’appel ou à des systèmes offrant des fonctionnalités équivalentes; l’accès aux réseaux fixes et mobiles, notamment pour l’itinérance; l’accès aux systèmes d’accès conditionnel pour les services de télévision numérique et l’accès aux services de réseaux virtuels.

accès [PROJET de Règlement UE "DGA" du 25 novembre 2020 (Data Governance Act)] : le traitement, par un utilisateur de données, de données qui ont été fournies par un détenteur de données conformément à des exigences techniques, juridiques ou organisationnelles particulières, sans que cela implique nécessairement la transmission ou le téléchargement de ces données.

accès non autorisé [à des données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

accès partagé à la boucle locale [Directive UE 2009/140/CE du 25 novembre 2009] : le fait de fournir à un bénéficiaire un accès à la boucle locale ou à la sous-boucle locale de l’opérateur PSM notifié autorisant l’usage d’une partie spécifiée de la capacité des infrastructures des réseaux telle qu’une partie de la fréquence ou l’équivalent.

accès totalement dégroupé à la boucle locale [Directive UE "Paquet Télécom II" n°2009/140/CE du 25 novembre 2009] : le fait de fournir à un bénéficiaire un accès à la boucle locale ou à la sous-boucle locale de l’opérateur PSM autorisant l’usage de la pleine capacité des infrastructures des réseaux.

actif numérique [article L54-10-1 du Code monétaire et financier] : Pour l'application du présent chapitre, les actifs numériques comprennent : 1° Les jetons mentionnés à l'article L. 552-2, à l'exclusion de ceux remplissant les caractéristiques des instruments financiers mentionnés à l'article L. 211-1 et des bons de caisse mentionnés à l'article L. 223-1 ; 2° Toute représentation numérique d'une valeur qui n'est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d'une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement.

action d’administration [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : installation, suppression, modification ou consultation d'une configuration d'un composant du système d'information, susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.

action de maintenance [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : réglage, vérification ou réparation des composants matériels ou logiciels du système d'information.

action de support [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : sous-ensemble des actions d'administration ne nécessitant pas les plus hauts niveaux de privilège et ne donnant pas accès, même indirectement, aux données du commanditaire.

administrateur [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : personne physique disposant de droits privilégiés sur un système d’information, chargée des actions d’administration ou de maintenance sur celui-ci, responsable d’un ou plusieurs domaines techniques.

administration sécurisée [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : ensemble des actions d'administration menées à l'état de l'art de la sécurité numérique.

Adversaire [ANSSI guide de sélection d'algorithmes cryptographiques - 8 mars 2021] : entité malveillante ayant pour but de remettre en cause l’objectif de sécurité d’un mécanisme cryptographique.

Algorithme cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Procédure de calcul bien définie qui prend un nombre d’entrées donné, produit une valeur de sortie, et satisfait une propriété de sécurité.

Algorithme de chiffrement par bloc [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un algorithme de chiffrement par bloc est un algorithme de chiffrement élémentaire permettant de traiter des données de tailles fixes, appelées blocs à l’aide d’un paramètre, appelé clé. Lorsque la clé considérée est fixe, l’opération de chiffrement des blocs est inversible et l’opération inverse est appelée opération de déchiffrement. On note n et k respectivement les tailles en bits des blocs et des clés de l’algorithme. Le comportement « en boîte noire » d’un algorithme de chiffrement par bloc à l’état de l’art et de la fonction de déchiffrement associée, utilisés avec une clé tirée aléatoirement, est indiscernable de celui d’une fonction inversible tirée aléatoirement et de son inverse. En particulier, des paires (clair, chiffré) n’apportent pas d’information exploitable sur la clé mise en œuvre, ni sur l’association établie par la fonction de chiffrement entre les autres clairs et les autres chiffrés.

Algorithme de chiffrement par flot [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un algorithme de chiffrement par flot (synchrone) permet de chiffrer un message clair de taille arbitraire en générant une suite chiffrante de même taille à partir d’une clé de taille k bits et d’un vecteur d’initialisation de taille n bits, puis en combinant message clair et suite chiffrante par une opération de XOR. Le résultat constitue le chiffré. Les suites chiffrantes produites par un algorithme de chiffrement par flot à l’état de l’art sont indiscernables de sorties d’une source d’aléa idéale, et ce même lorsque l’adversaire dispose de la liberté de choisir les vecteurs d’initialisation.

Algorithmes de chiffrement par bloc [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : De nombreux mécanismes de chiffrement ou d’authentification de message sont obtenus par combinaison d’un algorithme de chiffrement par bloc, le plus souvent de taille n = 128 bits, et d’un mode opératoire. L’algorithme de chiffrement par bloc transforme un bloc clair de n bits en un bloc chiffré de n bits et inversement, tandis que le mode opératoire utilise l’algorithme de chiffrement par bloc pour traiter un message de longueur arbitraire (et prend en particulier en charge les messages de longueur non multiple de n). L’algorithme de chiffrement par bloc ne doit pas être employé seul pour quelque objectif que ce soit. En particulier, le chiffrement d’un message par simple découpage en parties de n bits et application de l’algorithme de chiffrement par bloc sur chaque partie est un mode opératoire (appelé mode ECB, pour Electronic Codebook) qui n’est absolument pas sûr et doit être évité.

altération [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

altruisme en matière de données [PROJET de Règlement UE DGA du 25 novembre 2020 (Data Governance Act)] : le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou les autorisations accordées par d’autres titulaires de données pour l’utilisation de leurs données à caractère non personnel sans demander de contrepartie, à des fins d’intérêt général, telles que la recherche scientifique ou l’amélioration des services publics.

analyse de risque [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : besoins de sécurité du système d’information en fonction de la menace et des enjeux.

annuaire accessible au public [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : un annuaire des utilisateurs finaux de services de communications électroniques, sur support imprimé ou électronique, qui est publié ou mis à la disposition du public ou d'une partie du public, y compris par l'intermédiaire d’un service de renseignements.

API [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’interface logicielle entre des applications, fournie par les radiodiffuseurs ou prestataires de service, et les ressources de l’équipement de télévision numérique avancée prévues pour les services de télévision et de radio numériques.

appel [Directive CCEE n°2018/1972 du 11 décembre 2018] : une connexion établie au moyen d’un service de communications interpersonnelles accessible au public permettant une communication vocale bidirectionnelle.

appel [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : une connexion établie au moyen d’un service de communications électroniques accessible au public permettant une communication vocale bidirectionnelle.

appels vocaux de prospection directe [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les appels effectués en direct sans recourir à des systèmes de communication et d'appel automatisés.

attaque [NORME internationale ISO 27000:2018] : tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'utiliser sans autorisation un actif, ou de faire un usage non autorisé de celui-ci.

atteinte à l'intégrité d'un système d'information [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : le fait d'entraver ou d'interrompre le fonctionnement d'un système d'information en introduisant, en transmettant, en endommageant, en effaçant, en détériorant, en altérant ou en supprimant des données numériques, ou en les rendant inaccessibles.

atteinte à l'intégrité des données [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : l'effacement, l'endommagement, la détérioration, l'altération ou la suppression de données numériques dans un système d'information, ou le fait de rendre ces données inaccessibles; cette notion couvre également le vol de données, de fonds, de ressources économiques ou de droits de propriété intellectuelle.

atteinte au secret des correspondances [article 226-15 du Code pénal] : Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions. Lorsqu'ils sont commis par le conjoint ou le concubin de la victime ou le partenaire lié à la victime par un pacte civil de solidarité, ces faits sont punis d'une peine de deux ans d'emprisonnement et de 60 000 euros d'amende.

atteinte au secret professionnel [article 226-13 du Code pénal] : La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende.

attribution du spectre [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : la désignation d’une bande de fréquences donnée, aux fins de son utilisation par un ou plusieurs types de services de radiocommunications, le cas échéant, selon des conditions définies.

attribution du spectre radioélectrique [Directive CCEE n°2018/1972 du 11 décembre 2018] : la désignation d’une bande du spectre radioélectrique donnée, aux fins de son utilisation par un ou plusieurs types de services de radiocommunications, le cas échéant, selon des conditions définies.

audit (sécurité SI) [ANSSI Référentiel "PASSI" du 6 octobre 2015 (Prestataires d’Audit de la Sécurité des Systèmes d’Information)] : processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. Pour les besoins du référentiel, un audit est constitué d’un sous-ensemble des activités d’audit de la sécurité d’un système d’information décrites au chapitre II [du référentiel PASSI V2.1] et des recommandations assorties.

authenticité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

authentification [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique.

Authentification d'entité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Preuve de l’identité proclamée par une entité.

Authentification de l'origine des données [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Confirmation que la source prétendue d’une donnée reçue est légitime.

Authentification de message [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme d’authentification de message (MAC) permet, à l’aide d’une clé secrète K, de produire pour tout message M un motif d’authentification µ (mu) de M (aussi appelé motif d’intégrité de M). Ce motif ne peut pas être calculé sans la connaissance de K. A l’inverse, connaissant K, et ayant reçu un message M′ et un motif d’authentification µ ′ , il est possible de recalculer le motif d’authentification de M′ afin de vérifier qu’il est bien égal à µ ′ . Cela fournit l’assurance que la paire (M′ , µ′ ) a bien été produite avec la clé K et donc que l’intégrité du message a été préservée. Il est à noter qu’un mécanisme d’authentification de message ne protège pas contre le rejeu de messages authentifiés. Cette protection nécessite un mécanisme supplémentaire.

autoévaluation de la conformité [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : une action effectuée par un fabricant ou un fournisseur de produits TIC, services TIC ou processus TIC, qui évalue si ces produits TIC, services TIC ou processus TIC satisfont aux exigences fixées dans un schéma européen de certification de cybersécurité spécifique.

actif d'information [Règlement DORA n°2022/2554 du 14 décembre 2022] : un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection.

actif de TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière.

actions d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : Ensemble des actions d’installation, de suppression, de modification et de consultation de la configuration d’un système participant au système d’information du service et susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.

audit [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les exigences d’un référentiel sont satisfaites.

administrateur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : utilisateur disposant de droits privilégiés lui permettant de réaliser les tâches d’administration qui lui sont attribuées.

administrateur d'infrastructure [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : administrateur en charge de la gestion et du maintien en conditions opérationnelles et en condition de sécurité de l’infrastructure technique du service.