Échange de clé (ou établissement de clé) [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : l’échange de clé permet à deux correspondants dialoguant sur un canal public d’aboutir à un secret commun. Ce secret commun est en général utilisé pour générer des clés utilisées dans des communications ultérieures. Pour assurer la sécurité de ces protocoles contre les attaques actives, attaques de type Man-in-the-middle, où un adversaire s’insère dans la communication et manipule les messages échangés lors du protocole d’échange de clé, ces messages doivent être authentifiés. Ceci fournit de plus à chaque participant une garantie sur l’identité de son correspondant (dans certaines variantes, comme dans la mise en œuvre la plus courante de HTTPS, seul l’un des deux participants s’assure de l’identité de son correspondant). Habituellement, les participants authentifiés possèdent chacun une clé privée et l’authentification est rendue possible par la connaissance par les participants de la clé publique de leur correspondant. Les protocoles d’échanges de clé sont mis en œuvre dans différents protocoles réseau visant à établir un canal sécurisé (confidentiel et intègre), comme TLS ou IPSEC.

écrit [article 1365 du Code civil] : l'écrit consiste en une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quel que soit leur support.

écrit électronique [article 1366 du Code civil] : l'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.

EDINA [AVANT-PROJET de Règlement UE du 1er avril 2022] : l'acronyme "EDINA" pour "European Digital Infrastructures and Networks Act" ne signifie rien du tout dans la mesure où ce projet de Règlement UE est sorti de l'imagination (débordante) des contributrices et contributeurs du podcast NoLimitSecu pour l'épisode du 1er avril 2022. Non, il n'est nulle part prévu que l'ENISA devienne "CANIS", ni que le système de scoring CVSS du NIST soit remplacé par le système "EVES" ("European Vulnerability Evaluation Score" ). Pour écouter cet épisode "poisson d'avril 2022" du podcast NoLimitSecu, cliquez sur ce lien.

entreprise utilisatrice [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : tout particulier qui agit dans le cadre de son activité commerciale ou professionnelle ou toute personne morale qui, par le biais de services d’intermédiation en ligne, offre des biens ou services aux consommateurs à des fins liées à son activité commerciale, industrielle, artisanale ou libérale.

environnement numérique [Directive UE n°2019/770 du 20 mai 2019] : tout matériel informatique, logiciel et connexion réseau utilisés par le consommateur pour accéder à un contenu numérique ou à un service numérique ou en faire usage.

envoi recommandé électronique [Loi République Numérique n°2016-1321 du 7 octobre 2016] : I.-L'envoi recommandé électronique est équivalent à l'envoi par lettre recommandée, dès lors qu'il satisfait aux exigences de l'article 44 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE. Dans le cas où le destinataire n'est pas un professionnel, celui-ci doit avoir exprimé à l'expéditeur son consentement à recevoir des envois recommandés électroniques. Le prestataire peut proposer que le contenu de l'envoi soit imprimé sur papier puis acheminé au destinataire dans les conditions fixées au livre Ier du présent code. II.-Un décret en Conseil d'Etat fixe les modalités d'application du présent article, notamment : 1° Les exigences requises en matière : a) D'identification de l'expéditeur et du destinataire ; b) De preuve du dépôt par l'expéditeur des données et du moment de ce dépôt ; c) De preuve de la réception par le destinataire ou son mandataire des données transmises et du moment de cette réception ; d) D'intégrité des données transmises ; e) De remise, le cas échéant, de l'envoi recommandé électronique imprimé sur papier ; 2° Les informations que le prestataire d'un envoi recommandé électronique doit porter à la connaissance du destinataire ; 3° Le montant de l'indemnité forfaitaire due par le prestataire dont la responsabilité est engagée, en cas de retard dans la réception, de perte, extraction, altération ou modification frauduleuse des données transmises lors de la prestation

équipement de station terrestre de satellites [Directive Equipements terminaux" n°2008/63/CE du 20 juin 2008] : tout équipement pouvant servir pour l'émission (émission seule), pour l'émission et la réception (émission-réception) ou uniquement pour la réception (réception seule) de signaux radio-électriques au moyen de satellites ou d'autres systèmes spatiaux.

équipement terminal [de télécommunications] [Directive Equipements terminaux n°2008/63/CE du 20 juin 2008] : a) tout équipement qui est connecté directement ou indirectement à l’interface d'un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique; une connexion est indirecte si un appareil est interposé entre l’équipement terminal et l’interface du réseau public, b) les équipements de stations terrestres de satellites.

espiogiciel [Ex glossaire technique en ligne de l'ANSSI] : logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement dans lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.

établissement de clé (ou échange de clé) [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’échange de clé permet à deux correspondants dialoguant sur un canal public d’aboutir à un secret commun. Ce secret commun est en général utilisé pour générer des clés utilisées dans des communications ultérieures. Pour assurer la sécurité de ces protocoles contre les attaques actives, attaques de type Man-in-the-middle, où un adversaire s’insère dans la communication et manipule les messages échangés lors du protocole d’échange de clé, ces messages doivent être authentifiés. Ceci fournit de plus à chaque participant une garantie sur l’identité de son correspondant (dans certaines variantes, comme dans la mise en œuvre la plus courante de HTTPS, seul l’un des deux participants s’assure de l’identité de son correspondant). Habituellement, les participants authentifiés possèdent chacun une clé privée et l’authentification est rendue possible par la connaissance par les participants de la clé publique de leur correspondant. Les protocoles d’échanges de clé sont mis en œuvre dans différents protocoles réseau visant à établir un canal sécurisé (confidentiel et intègre), comme TLS ou IPSEC.

état de l'art (sécurité des systèmes d'information) [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information ou à la vérification d’identité publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine législatif, réglementaire ou normatif.

événement [NORME internationale ISO 27000:2018] : occurrence ou changement d'un ensemble particulier de circonstances.

événement lié à la sécurité de l'information [ISO/IEC 27000:2018] : occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible dans la politique de sécurité de l'information ou un échec des mesures de sécurité, ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité.

évènement lié à la sécurité de l’information [ANSSI Référentiel PRIS du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] occurrence identifiée de l’état d’un système, d’un service ou d’un réseau indiquant une violation possible de la politique de sécurité de l’information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité de l’information.

exploit [Ex glossaire technique en ligne de l'ANSSI] : tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) à des fins malveillantes.

extorsion [article 312-1 du Code pénal] : le fait d'obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'un bien quelconque. L'extorsion est punie de sept ans d'emprisonnement et de 100 000 euros d'amende.

extraction [Directive Base de données n°96/9/CE du 11 mars 1996] : le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit.

entité fournissant des services d’enregistrement de noms de domain [Directive NISv2 n°2022/2555 du 14 décembre 2022] : un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire.

entité critique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une entité publique ou privée qui a été désignée par un État membre conformément à l’article 6 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe.

évaluation des risques [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident.

entité de l’administration publique» [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une entité reconnue comme telle dans un État membre conformément au droit national, à l’exclusion de l’organisation judiciaire, des parlements et des banques centrales, qui satisfait aux critères suivants: a) elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial; b) elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique; c) elleestfinancéemajoritairementparlesautoritésdel’Étatoud’autresorganismesdedroitpublicdeniveaucentral, ou sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé, pour plus de la moitié, de membres désignés par les autorités de l’État ou d’autres organismes de droit public de niveau central; d) elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux.

état de l'art [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine réglementaire.

éditeur de logiciel [article L. 2321-4-1 du Code de la défense modifié par la LPM du 1er août 2023] : toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.

éditeur de logiciel [Loi n°2023-703 du 1er août 2023 relative à la programmation militaire, article 66] : toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit.

évaluation de la conformité [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : le processus qui permet de vérifier si les exigences essentielles énoncées à l’annexe I ont été respectées ;

évaluation de la conformité [Règlement "IA" du 13 juin 2024 2024/1689] : la procédure permettant de démontrer que les exigences relatives à un système d’IA à haut risque énoncées au chapitre III, section 2, ont été respectées ;

espace accessible au public [Règlement "IA" du 13 juin 2024 2024/1689] : tout espace physique de propriété publique ou privée, accessible à un nombre indéterminé de personnes physiques, indépendamment de l’existence de conditions d’accès à cet espace qui puissent s’appliquer, et indépendamment d’éventuelles restrictions de capacité ;

essais en conditions réelles [Règlement "IA" du 13 juin 2024 2024/1689] : les essais temporaires d’un système d’IA aux fins de sa destination en conditions réelles en dehors d’un laboratoire ou d’un environnement simulé d’une autre manière, visant à recueillir des données fiables et solides et à évaluer et vérifier la conformité du système d’IA aux exigences du présent règlement; les essais en conditions réelles ne remplissent pas les conditions pour constituer une mise sur le marché ni une mise en service du système d’IA au sens du présent règlement, pour autant que toutes les conditions prévues à l’article 57 ou à l’article 60 soient remplies ;

établissement principal [Règlement UE 2022/868 «DGA » du 30 mai 2022] : en ce qui concerne une personne morale, le lieu de son administration centrale dans l’Union ;

«environnement de traitement sécurisé» [Règlement UE 2022/868 «DGA » du 30 mai 2022] : l’environnement physique ou virtuel et les moyens organisationnels pour garantir le respect du droit de l’Union, tel que le règlement (UE) 2016/679, en particulier en ce qui concerne les droits des personnes concernées, les droits de propriété intellectuelle, la confidentialité commerciale et le secret statistique, l’intégrité et l’accessibilité, ainsi que le respect du droit national applicable, et pour permettre à l’entité fournissant l’environnement de traitement sécurisé de déterminer et de surveiller toutes les opérations de traitement de données, notamment l’affichage, le stockage, le téléchargement et l’exportation de données et le calcul de données dérivées au moyen d’algorithmes de calcul ;

entreprise publique [Règlement UE 2022/868 «DGA » du 30 mai 2022] : toute entreprise sur laquelle les organismes du secteur public peuvent exercer directement ou indirectement une influence dominante du fait de la propriété de l’entreprise, de la participation financière qu’ils y détiennent ou des règles qui la régissent; aux fins de la présente définition, une influence dominante des organismes du secteur public sur l’entreprise est présumée dans tous les cas suivants lorsque ces organismes, directement ou indirectement: a) détiennent la majorité du capital souscrit de l’entreprise; b) disposent de la majorité des voix attachées aux parts émises par l’entreprise; c) peuvent désigner plus de la moitié des membres de l’organe d’administration, de direction ou de surveillance de l’entreprise;

élévation de privilège [CyberDico ANSSI, 15 juillet 2024] : Obtention de privilège supérieur par exploitation d’une vulnérabilité. Par exemple, si un utilisateur local accède à des droits normalement réservés à l’administrateur, il y a élévation de privilège. Une élévation de privilège est souvent recherchée par une personne malveillante lorsqu’elle a réussi à s’introduire sur un système d’information en usurpant l’identité d’un utilisateur légitime.

état de l'art [CyberDico ANSSI, 15 juillet 2024] : Ensemble des bonnes pratiques, des technologies et des documents de référence relatifs à la sécurité des systèmes d’information publiquement accessibles, et des informations qui en découlent de manière évidente. Ces documents peuvent être mis en ligne sur Internet par la communauté de la sécurité des systèmes d’information, diffusés par des organismes de référence ou encore d’origine réglementaire.

espionnage [CyberDico ANSSI, 15 juillet 2024] : type d’attaque consistant pour un attaquant à prendre pied discrètement dans le système d’information de la victime pour en exfiltrer de l’information stratégique pour l’entreprise. Une telle attaque, souvent sophistiquée, peut durer plusieurs années avant d’être détectée.

espiogiciel [CyberDico ANSSI, 15 juillet 2024] : Logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement sur lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.

état de la menace [CyberDico ANSSI, 15 juillet 2024] : L’état de la menace caractérise, sur une période et un périmètre donnés, la nature et le niveau de risque atteints selon différentes variables telles que le type de menace, les acteurs concernés, les tendances observées, les modes opératoires à l’œuvre, les objectifs visés ou encore les moyens disponibles. Pour dresser ce panorama, l’ANSSI s’appuie sur une typologie de la menace en quatre catégories : cybercriminalité, déstabilisation, espionnage, sabotage.

exécution de code arbitraire [CyberDico ANSSI, 15 juillet 2024] : mise en œuvre de commandes à distance sur un ordinateur, à l’insu de son utilisateur légitime.

exfiltration de données [CyberDico ANSSI, 15 juillet 2024] : vol ou transfert non autorisé des données depuis un terminal ou un réseau.

exploit (code d'exploitation) [CyberDico ANSSI, 15 juillet 2024] : tout ou partie d’un programme permettant d’utiliser une vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) à des fins malveillantes.

évènements de sécurité [CyberDico ANSSI, 15 juillet 2024] : évènements portés à la connaissance de l’ANSSI et qui ont donné lieu à un traitement par les équipes opérationnelles.

équivalence fonctionnelle [Loi "SREN" n°2024-449 du 21 mai 2014] : le rétablissement, sur la base des données exportables et des actifs numériques du client, d'un niveau minimal de fonctionnalité dans l'environnement d'un nouveau service d'informatique en nuage du même type de service après le changement de fournisseur, lorsque le service de destination fournit des résultats sensiblement comparables en réponse à la même entrée pour les fonctionnalités partagées fournies au client en application d'un accord contractuel.