abonné [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : entité ayant besoin de faire horodater des données par une Autorité d'horodatage et qui a accepté les conditions d'utilisation de ses services.

accès [Directive UE "CCEE" n°2018/1972 du 11 décembre 2018] : la mise à la disposition d’une autre entreprise, dans des conditions bien définies et de manière exclusive ou non exclusive, de ressources ou de services en vue de la fourniture de services de communications électroniques, y compris lorsqu’ils servent à la fourniture de services de la société de l’information ou de services de contenu radiodiffusé; cela couvre entre autres: l’accès à des éléments de réseau et à des ressources associées, ce qui peut comprendre la connexion des équipements par des moyens fixes ou non (cela comprend en particulier l’accès à la boucle locale ainsi qu’aux ressources et services nécessaires à la fourniture de services par la boucle locale); l’accès à l’infrastructure physique, y compris aux bâtiments, gaines et pylônes; l’accès aux systèmes logiciels pertinents, y compris aux systèmes d’assistance à l’exploitation; l’accès aux systèmes d’information ou aux bases de données pour la préparation de commandes, l’approvisionnement, la commande, les demandes de maintenance et de réparation et la facturation; l’accès à la conversion du numéro d’appel ou à des systèmes offrant des fonctionnalités équivalentes; l’accès aux réseaux fixes et mobiles, notamment pour l’itinérance; l’accès aux systèmes d’accès conditionnel pour les services de télévision numérique et l’accès aux services de réseaux virtuels.

accès [Directive UE "Paquet Télécom II" n°2009/140/CE du 25 novembre 2009] : la mise à la disposition d’une autre entreprise, dans des conditions bien définies et de manière exclusive ou non exclusive, de ressources et/ou de services en vue de la fourniture de services de communications électroniques, y compris lorsqu’ils servent à la fourniture de services de la société de l’information ou de contenu radiodiffusé. Cela couvre notamment: l’accès à des éléments de réseaux et à des ressources associées et éventuellement à la connexion des équipements par des moyens fixes ou non (cela comprend en particulier l’accès à la boucle locale ainsi qu’aux ressources et services nécessaires à la fourniture de services par la boucle locale); l’accès à l’infrastructure physique, y compris aux bâtiments, gaines et pylônes; l’accès aux systèmes logiciels pertinents, y compris aux systèmes d’assistance à l’exploitation; l’accès aux systèmes d’information ou aux bases de données pour la préparation de commandes, l’approvisionnement, la commande, les demandes de maintenance et de réparation et la facturation; l’accès à la conversion du numéro d’appel ou à des systèmes offrant des fonctionnalités équivalentes; l’accès aux réseaux fixes et mobiles, notamment pour l’itinérance; l’accès aux systèmes d’accès conditionnel pour les services de télévision numérique et l’accès aux services de réseaux virtuels.

accès non autorisé [à des données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

accès partagé à la boucle locale [Directive UE 2009/140/CE du 25 novembre 2009] : le fait de fournir à un bénéficiaire un accès à la boucle locale ou à la sous-boucle locale de l’opérateur PSM notifié autorisant l’usage d’une partie spécifiée de la capacité des infrastructures des réseaux telle qu’une partie de la fréquence ou l’équivalent.

accès totalement dégroupé à la boucle locale [Directive UE "Paquet Télécom II" n°2009/140/CE du 25 novembre 2009] : le fait de fournir à un bénéficiaire un accès à la boucle locale ou à la sous-boucle locale de l’opérateur PSM autorisant l’usage de la pleine capacité des infrastructures des réseaux.

actif numérique [article L54-10-1 du Code monétaire et financier] : Pour l'application du présent chapitre, les actifs numériques comprennent : 1° Les jetons mentionnés à l'article L. 552-2, à l'exclusion de ceux remplissant les caractéristiques des instruments financiers mentionnés à l'article L. 211-1 et des bons de caisse mentionnés à l'article L. 223-1 ; 2° Toute représentation numérique d'une valeur qui n'est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d'une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement.

action d’administration [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : installation, suppression, modification ou consultation d'une configuration d'un composant du système d'information, susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.

action de maintenance [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : réglage, vérification ou réparation des composants matériels ou logiciels du système d'information.

action de support [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : sous-ensemble des actions d'administration ne nécessitant pas les plus hauts niveaux de privilège et ne donnant pas accès, même indirectement, aux données du commanditaire.

administrateur [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : personne physique disposant de droits privilégiés sur un système d’information, chargée des actions d’administration ou de maintenance sur celui-ci, responsable d’un ou plusieurs domaines techniques.

administration sécurisée [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : ensemble des actions d'administration menées à l'état de l'art de la sécurité numérique.

Adversaire [ANSSI guide de sélection d'algorithmes cryptographiques - 8 mars 2021] : entité malveillante ayant pour but de remettre en cause l’objectif de sécurité d’un mécanisme cryptographique.

Algorithme cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Procédure de calcul bien définie qui prend un nombre d’entrées donné, produit une valeur de sortie, et satisfait une propriété de sécurité.

Algorithme de chiffrement par bloc [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un algorithme de chiffrement par bloc est un algorithme de chiffrement élémentaire permettant de traiter des données de tailles fixes, appelées blocs à l’aide d’un paramètre, appelé clé. Lorsque la clé considérée est fixe, l’opération de chiffrement des blocs est inversible et l’opération inverse est appelée opération de déchiffrement. On note n et k respectivement les tailles en bits des blocs et des clés de l’algorithme. Le comportement « en boîte noire » d’un algorithme de chiffrement par bloc à l’état de l’art et de la fonction de déchiffrement associée, utilisés avec une clé tirée aléatoirement, est indiscernable de celui d’une fonction inversible tirée aléatoirement et de son inverse. En particulier, des paires (clair, chiffré) n’apportent pas d’information exploitable sur la clé mise en œuvre, ni sur l’association établie par la fonction de chiffrement entre les autres clairs et les autres chiffrés.

Algorithme de chiffrement par flot [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : un algorithme de chiffrement par flot (synchrone) permet de chiffrer un message clair de taille arbitraire en générant une suite chiffrante de même taille à partir d’une clé de taille k bits et d’un vecteur d’initialisation de taille n bits, puis en combinant message clair et suite chiffrante par une opération de XOR. Le résultat constitue le chiffré. Les suites chiffrantes produites par un algorithme de chiffrement par flot à l’état de l’art sont indiscernables de sorties d’une source d’aléa idéale, et ce même lorsque l’adversaire dispose de la liberté de choisir les vecteurs d’initialisation.

Algorithmes de chiffrement par bloc [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : De nombreux mécanismes de chiffrement ou d’authentification de message sont obtenus par combinaison d’un algorithme de chiffrement par bloc, le plus souvent de taille n = 128 bits, et d’un mode opératoire. L’algorithme de chiffrement par bloc transforme un bloc clair de n bits en un bloc chiffré de n bits et inversement, tandis que le mode opératoire utilise l’algorithme de chiffrement par bloc pour traiter un message de longueur arbitraire (et prend en particulier en charge les messages de longueur non multiple de n). L’algorithme de chiffrement par bloc ne doit pas être employé seul pour quelque objectif que ce soit. En particulier, le chiffrement d’un message par simple découpage en parties de n bits et application de l’algorithme de chiffrement par bloc sur chaque partie est un mode opératoire (appelé mode ECB, pour Electronic Codebook) qui n’est absolument pas sûr et doit être évité.

altération [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

analyse de risque [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : besoins de sécurité du système d’information en fonction de la menace et des enjeux.

annuaire accessible au public [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : un annuaire des utilisateurs finaux de services de communications électroniques, sur support imprimé ou électronique, qui est publié ou mis à la disposition du public ou d'une partie du public, y compris par l'intermédiaire d’un service de renseignements.

API [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’interface logicielle entre des applications, fournie par les radiodiffuseurs ou prestataires de service, et les ressources de l’équipement de télévision numérique avancée prévues pour les services de télévision et de radio numériques.

appel [Directive CCEE n°2018/1972 du 11 décembre 2018] : une connexion établie au moyen d’un service de communications interpersonnelles accessible au public permettant une communication vocale bidirectionnelle.

appel [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : une connexion établie au moyen d’un service de communications électroniques accessible au public permettant une communication vocale bidirectionnelle.

appels vocaux de prospection directe [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les appels effectués en direct sans recourir à des systèmes de communication et d'appel automatisés.

attaque [NORME internationale ISO 27000:2018] : tentative de détruire, de rendre public, de modifier, d'invalider, de voler ou d'utiliser sans autorisation un actif, ou de faire un usage non autorisé de celui-ci.

atteinte à l'intégrité d'un système d'information [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : le fait d'entraver ou d'interrompre le fonctionnement d'un système d'information en introduisant, en transmettant, en endommageant, en effaçant, en détériorant, en altérant ou en supprimant des données numériques, ou en les rendant inaccessibles.

atteinte à l'intégrité des données [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : l'effacement, l'endommagement, la détérioration, l'altération ou la suppression de données numériques dans un système d'information, ou le fait de rendre ces données inaccessibles; cette notion couvre également le vol de données, de fonds, de ressources économiques ou de droits de propriété intellectuelle.

atteinte au secret des correspondances [article 226-15 du Code pénal] : Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions. Lorsqu'ils sont commis par le conjoint ou le concubin de la victime ou le partenaire lié à la victime par un pacte civil de solidarité, ces faits sont punis d'une peine de deux ans d'emprisonnement et de 60 000 euros d'amende.

atteinte au secret professionnel [article 226-13 du Code pénal] : La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende.

attribution du spectre [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : la désignation d’une bande de fréquences donnée, aux fins de son utilisation par un ou plusieurs types de services de radiocommunications, le cas échéant, selon des conditions définies.

attribution du spectre radioélectrique [Directive CCEE n°2018/1972 du 11 décembre 2018] : la désignation d’une bande du spectre radioélectrique donnée, aux fins de son utilisation par un ou plusieurs types de services de radiocommunications, le cas échéant, selon des conditions définies.

audit (sécurité SI) [ANSSI Référentiel "PASSI" du 6 octobre 2015 (Prestataires d’Audit de la Sécurité des Systèmes d’Information)] : processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. Pour les besoins du référentiel, un audit est constitué d’un sous-ensemble des activités d’audit de la sécurité d’un système d’information décrites au chapitre II [du référentiel PASSI V2.1] et des recommandations assorties.

authenticité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

authentification [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique.

Authentification d'entité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Preuve de l’identité proclamée par une entité.

Authentification de l'origine des données [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Confirmation que la source prétendue d’une donnée reçue est légitime.

Authentification de message [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Un mécanisme d’authentification de message (MAC) permet, à l’aide d’une clé secrète K, de produire pour tout message M un motif d’authentification µ (mu) de M (aussi appelé motif d’intégrité de M). Ce motif ne peut pas être calculé sans la connaissance de K. A l’inverse, connaissant K, et ayant reçu un message M′ et un motif d’authentification µ ′ , il est possible de recalculer le motif d’authentification de M′ afin de vérifier qu’il est bien égal à µ ′ . Cela fournit l’assurance que la paire (M′ , µ′ ) a bien été produite avec la clé K et donc que l’intégrité du message a été préservée. Il est à noter qu’un mécanisme d’authentification de message ne protège pas contre le rejeu de messages authentifiés. Cette protection nécessite un mécanisme supplémentaire.

autoévaluation de la conformité [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : une action effectuée par un fabricant ou un fournisseur de produits TIC, services TIC ou processus TIC, qui évalue si ces produits TIC, services TIC ou processus TIC satisfont aux exigences fixées dans un schéma européen de certification de cybersécurité spécifique.

actif d'information [Règlement DORA n°2022/2554 du 14 décembre 2022] : un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection.

actif de TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière.

actions d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : Ensemble des actions d’installation, de suppression, de modification et de consultation de la configuration d’un système participant au système d’information du service et susceptibles de modifier le fonctionnement ou la sécurité de celui-ci.

audit [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les exigences d’un référentiel sont satisfaites.

administrateur [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : utilisateur disposant de droits privilégiés lui permettant de réaliser les tâches d’administration qui lui sont attribuées.

administrateur d'infrastructure [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : administrateur en charge de la gestion et du maintien en conditions opérationnelles et en condition de sécurité de l’infrastructure technique du service.

administrateur de logiciels ouverts [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : une personne morale, autre que le fabricant, qui a pour objectif ou finalité de fournir un soutien systématique et continu au développement de produits spécifiques comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et sont destinés à des activités commerciales, et qui assure la viabilité de ces produits ;

autorité notifiante [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle ;

autorités répressives», [Règlement "IA" du 13 juin 2024 2024/1689] : a) toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; ou b) tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

activités répressives [Règlement "IA" du 13 juin 2024 2024/1689] : des activités menées par les autorités répressives ou pour leur compte pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

autorité nationale compétente [Règlement "IA" du 13 juin 2024 2024/1689] : une autorité notifiante ou une autorité de surveillance du marché; en ce qui concerne les systèmes d’IA mis en service ou utilisés par les institutions, organes ou organismes de l’Union, les références aux autorités nationales compétentes ou aux autorités de surveillance du marché dans le présent règlement s’entendent comme une référence au Contrôleur européen de la protection des données ;

autorisation [Règlement UE 2022/868 «DGA » du 30 mai 2022] : le fait d’accorder aux utilisateurs de données le droit au traitement de données à caractère non personnel ;

accès [Règlement UE 2022/868 «DGA » du 30 mai 2022] : l’utilisation de données conformément à des exigences techniques, juridiques ou organisationnelles particulières, sans que cela implique nécessairement la transmission ou le téléchargement de données ;

altruisme en matière de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national, le cas échéant, par exemple les soins de santé, la lutte contre le changement climatique, l’amélioration de la mobilité, la facilitation du développement, de la production et de la diffusion de statistiques officielles, l’amélioration de la prestation de services publics, l’élaboration des politiques publiques ou la recherche scientifique dans l’intérêt général;

accès [CyberDico ANSSI, 15 juillet 2024] : Processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les exigences d’un référentiel sont satisfaites.

accès [CyberDico ANSSI, 15 juillet 2024] : La communication sur l’internet est fondée sur un protocole appelé IP pour Internet Protocol qui permet aux ordinateurs de communiquer entre eux.

DNS (Domain name system) [CyberDico ANSSI, 15 juillet 2024] : système de bases de données et de serveurs assurant la correspondance entre les noms de domaine ou de sites utilisés par les internautes et les adresses numériques utilisables par les ordinateurs. Par exemple, le DNS établit la correspondance entre le domaine « cert.ssi.gouv.fr » et l’adresse 213.56.176.2. Ce système permet aux internautes d’utiliser, dans la rédaction des adresses, des noms faciles à retenir au lieu de la suite de chiffres du protocole IP.

actes de cybermalveillance [CyberDico ANSSI, 15 juillet 2024] : une cybermalveillance représente toute infraction commise par voie numérique. Il peut s’agir de phishing ou hameçonnage, de piratage d’un compte ou d’un équipement, d’usurpation d’identité, d’attaque par rançongiciel, etc.

adware [CyberDico ANSSI, 15 juillet 2024] : Code ayant pour finalité d'afficher des bandeaux publicitaires par le biais du navigateur Internet de l'utilisateur. Remarque : Ce code est très souvent perçu comme une méthode envahissante. Il engendre dans de nombreux cas d’autres effets sur le système, comme l’apparition de fenêtres surgissantes (popups), la dégradation de la bande passante ou de la performance de la machine de l’utilisateur.

analyse du risque numérique [CyberDico ANSSI, 15 juillet 2024] : L‘analyse de risque vise à apprécier les risques numériques qui pèsent sur une organisation - qu’elle soit publique ou privée - et à identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. L’ANSSI, avec le soutien du Club EBIOS, publie une méthode dédiée à cet exercice : EBIOS Risk Manager.

authenticité [CyberDico ANSSI, 15 juillet 2024] : L’information est attribuée à son auteur légitime.

authentification [CyberDico ANSSI, 15 juillet 2024] : L’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité.

Attaque par saisie d’authentifiants volés (credential stuffing) [CyberDico ANSSI, 15 juillet 2024] : Type d'attaque par force brute exploitant des authentifiants précédemment exposés.

accès de proximité [CyberDico ANSSI, 15 juillet 2024] : englobe les attaques par wifi, ondes.

accès local [CyberDico ANSSI, 15 juillet 2024] : attaques avec accès physique au réseau.

ANSSI [CyberDico ANSSI, 15 juillet 2024] : L’ANSSI est l’autorité nationale en matière de cybersécurité et de cyberdéfense. Son action vise à construire et organiser la protection de la Nation face aux cyberattaques. Rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), l’Agence est un service du Premier ministre, dont les activités sont exclusivement défensives

assistance capacitaire [CyberDico ANSSI, 15 juillet 2024] : Développement capacitaire, renforcement capacitaire.

avoir d'informatique en nuage [Loi "SREN" n°2024-449 du 21 mai 2014] : un avantage octroyé par un fournisseur de services d'informatique en nuage à un client, défini au 3° du présent I, utilisable sur ses différents services, sous la forme d'un montant de crédits offerts ou d'une quantité de services offerts ;

autopréférence [Loi "SREN" n°2024-449 du 21 mai 2014] : le fait, pour un fournisseur de services d'informatique en nuage qui fournit également des logiciels, de fournir un logiciel à un client par le biais des services d'un fournisseur de services d'informatique en nuage tiers dans des conditions tarifaires et fonctionnelles qui diffèrent sensiblement de celles dans lesquelles le fournisseur fournit ce même logiciel par le biais de son propre service d'informatique en nuage, lorsque ces différences de tarifs et de fonctionnalités ne sont pas justifiées.

actifs numériques [Loi "SREN" n°2024-449 du 21 mai 2014] : tous les éléments au format numérique, y compris les applications, sur lesquels le client d'un service d'informatique en nuage a un droit d'utilisation, indépendamment de la relation contractuelle que le client a avec le service d'informatique en nuage qu'il a l'intention de quitter.