identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale.

impact significatif d'un incident [Règlement d'exécution Incident à impact significatif n°2018/151 du 30 janvier 2018] : Un incident est considéré comme ayant un impact significatif si au moins l'une des situations suivantes s'est présentée: a) le service fourni par un fournisseur de service numérique a été indisponible pendant plus de 5 000 000 heures utilisateur, une heure-utilisateur correspondant au nombre d'utilisateurs affectés dans l'Union pendant une durée de soixante minutes; b) l'incident a entraîné une perte de l'intégrité, de l'authenticité ou de la confidentialité des données stockées, transmises ou transformées ou des services connexes offerts ou accessibles par l'intermédiaire d'un réseau et d'un système informatique du fournisseur de service numérique, qui a touché plus de 100 000 utilisateurs dans l'Union; c) l'incident a engendré un risque pour la sécurité ou la sûreté publiques ou a entraîné un décès; d) l'incident a causé un préjudice matériel à au moins un utilisateur dans l'Union dès lors que le préjudice causé à cet utilisateur dépasse 1 000 000 EUR.

importateur [PROJET de Règlement IA du 21 avril 2021] : toute personne physique ou morale établie dans l’Union qui met sur le marché ou met en service un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union.

incident [Directive UE NIS (Network Information Security) 2016/1148 du 6 juillet 2016] : tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information. ---> voir définition de "réseau" et de "système d'information" de la Directive NIS et du projet de directive NIS2

incident [Règlement Cyber Security Act n°2019/881 du 17 avril 2019] : un incident au sens de l’article 4.7 de la directive NIS 2016/1148. ---> article 4.7 directive NIS 2016/1148 "tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information".

incidents affectant le fonctionnement ou la sécurité des systèmes d'information [d'importance Vitale] [article L.1332-6-2 Code de la défense] Les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 [opérateurs d'Importance Vitale] informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d'information mentionnés au premier alinéa de l'article L.1332-6-1 [Système d'Information d'Importance Vitale].

incident affectant les systèmes d'information et de communication [d'un département ministériel] [Décret n°2019-1088 du 25 octobre 2019 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics]: Chaque ministre désigne un fonctionnaire de sécurité des systèmes d'information chargé de l'assister dans l'exercice de sa responsabilité en matière de sécurité numérique mentionnée à l'article 2. Ce fonctionnaire est placé sous l'autorité du haut fonctionnaire mentionné à l'article R. 1143-1 du code de la défense. Le fonctionnaire de sécurité des systèmes d'information s'assure de l'application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d'information et de communication. Il déclare à l'Agence nationale de la sécurité des systèmes d'information les incidents affectant les systèmes d'information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci. Les responsabilités de ce fonctionnaire sont précisées par arrêté du Premier ministre. ---> NOTE : l'article 4-1 du Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE  

incident de sécurité [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : un ou plusieurs évènement(s) de sécurité de l’information indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et/ou de menacer la sécurité de l’information.

incident de sécurité [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : tout événement ayant un effet négatif sur la sécurité des réseaux ou des services de communications électroniques.

incident de sécurité [proposition de clause contractuelle v03-2022]

"Incident de Sécurité" désigne toute Compromission avérée qui doit faire l'objet d'une déclaration obligatoire de survenance à une autorité de contrôle (CNIL, ANSSI, ARS, etc.).

NDLR ---> Il est recommandé de détailler cette clause en fonction de la nature du client / opérateur concerné (OIV, OSE, Opérateur de Communications Electroniques, plateforme, etc.) et des données concernées (données personnelles, données de santé, etc.) et de définir le terme "Compromission".

incident grave [PROJET de Règlement IA du 21 avril 2021] : tout incident entraînant directement ou indirectement, susceptible d'avoir entraîné ou susceptible d'entraîner : (a) le décès d’une personne ou une atteinte grave à la santé d’une personne, à des biens ou à l’environnement, (b) une perturbation grave et irréversible de la gestion et du fonctionnement d’infrastructures critiques.

incident lié à la sécurité de l'information [NORME internationale ISO 27000:2018] : un ou plusieurs événements liés à la sécurité de l'information, indésirables ou inattendus, présentant une probabilité forte de compromettre les opérations liées à l'activité de l'organisme et de menacer la sécurité de l'information.

incidents de sécurité [glossaire technique en ligne de l'ANSSI] : un incident de sécurité est un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Exemples : utilisation illégale d’un mot de passe, vol d’équipements informatiques, intrusion dans un fichier ou une application, etc.

indicateur de compromission [ANSSI Référentiel PRIS du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : combinaison d’informations techniques représentatives d’une manifestation de compromission, dont la présence peut être identifiée à partir de l’analyse d’un système, d’un code malveillant ou de traces réseau.

indicateurs techniques de compromission [formulaire ANSSI de déclaration d'incident de sécurité] : indicateurs caractérisant l’attaque tels que des adresses IP, des noms de domaine, des adresses URL, des empreintes cryptographiques, des noms de fichiers ou de codes malveillants, des données contenues dans des codes malveillants ou dans les bases de registre du système, etc.

indisponibilité [d'un système d'information] : pas de définition légale, dans aucun texte de l'UE, ni dans aucune norme type ISO, ni en droit français. ---> voir la définition de "disponibilité"

informations relatives à la localisation de l'appelant [Directive CCEE n°2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen] : dans un réseau mobile public, les données traitées qui proviennent de l’infrastructure de réseau ou de l’appareil mobile et qui indiquent la position géographique de l’équipement terminal mobile d’un utilisateur final et, dans un réseau fixe public, les données relatives à l’adresse physique du point de terminaison du réseau.

intégration [Directive UE n°2019/770 du 20 mai 2019] : le fait de relier et d’intégrer un contenu numérique ou un service numérique aux composantes de l’environnement numérique du consommateur afin de permettre que le contenu numérique ou le service numérique soit utilisé conformément aux critères de conformité prévus par la présente directive.

Intégrité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Propriété qui assure que des données n’ont été ni modifiées ni détruites d’une manière non autorisée.

intégrité [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

intégrité [Glossaire technique en ligne de l'ANSSI] : garantie que le système et l’information traitée ne sont modifiés que par une action volontaire et légitime.

intégrité [NORME internationale ISO 27000:2018] : propriété d'exactitude et de complétude. ---> le terme "intégrité" est utilisé à l'article 32 Règlement UE "RGPD" n°2016/679 du 27 avril 2016 et dans la définition du terme "sécurité" [des réseaux et des systèmes d'information] de la Directive UE "NIS" n°2016/1148 du 6 juillet 2016.

intégrité [wikipédia "objectif de sécurité des systèmes d'information"] : Le système d'information représente un patrimoine essentiel de l'organisation, qu'il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » La sécurité des systèmes d'information vise les objectifs suivants (C.A.I.D.) :

1. Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.
2. Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès. Il ne faut pas mélanger identification et authentification : dans le premier cas, l'utilisateur n'est reconnu que par son identifiant public, tandis que dans le deuxième cas, il doit fournir un mot de passe ou un élément que lui-seul connaît (secret). Mettre en correspondance un identifiant public avec un secret est le mécanisme permettant de garantir l'authenticité de l'identifiant. Cela permet de gérer les droits d'accès aux ressources concernées et maintenir la confiance dans les relations d'échange.
3. Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.
4. Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

interception de données [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : le fait d'intercepter, par des moyens techniques, des transmissions privées de données numériques à destination, à partir ou au sein d'un système d'information, y compris les émissions électromagnétiques provenant d'un système d'information transportant de telles données numériques.

interconnexion [Directive CCEE n°2018/1972 du 11 décembre 2018] : un type particulier d’accès mis en œuvre entre opérateurs de réseaux publics au moyen de la liaison physique et logique des réseaux de communications électroniques publics utilisés par la même entreprise ou une entreprise différente, afin de permettre aux utilisateurs d’une entreprise de communiquer avec les utilisateurs de la même entreprise ou d’une autre entreprise, ou d’accéder aux services fournis par une autre entreprise lorsque ces services sont fournis par les parties concernées ou par d’autres parties qui ont accès au réseau.

interface [Directive Logiciel n°2009/24/CE du 23 avril 2009] : parties du programme qui assurent [l'] interconnexion et [l'] interaction entre les éléments des logiciels et des matériels.

interface de programme d'application [Directive CCEE n°2018/1972 du 11 décembre 2018] : l’interface logicielle entre des applications, fournie par les radiodiffuseurs ou prestataires de service, et les ressources de l’équipement de télévision numérique avancée prévues pour les services de télévision et de radio numériques.

interface en ligne [Règlement géo-blocage n°2018/302 du 28 février 2018] : tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles, exploité par un professionnel ou pour son compte et permettant aux clients d'accéder aux biens ou aux services qu'il propose en vue de réaliser une transaction portant sur ces biens ou services.

interopérabilité [Directive Logiciel n°2009/24/CE du 23 avril 2009] : capacité d'échanger des informations et d'utiliser mutuellement les informations échangées..

interopérabilité [Directive UE n°2019/770 du 20 mai 2019] : la capacité du contenu numérique ou du service numérique à fonctionner avec du matériel infor­matique ou des logiciels différents de ceux avec lesquels des contenus numériques ou des services numériques de même type sont normalement utilisés.

intrusion [glossaire technique en ligne de l'ANSSI] : l’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée.

investigation [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : procédé visant à collecter et analyser tout élément technique, fonctionnel ou organisationnel du système d’information permettant de qualifier une situation suspecte en incident de sécurité et de comprendre le mode opératoire et l’étendue d’un incident de sécurité sur un système d’information.

incident évité [Directive NISv2 - 2022/2555 - 14 décembre 2022] : un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, mais dont la réalisation a pu être empêchée ou ne s’est pas produite.

incident [Directive NISv2 - 2022/2555- 14 décembre 2022] : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles.

incident de cybersécurité majeur [Directive NISv2 - 2022/2555 -14 décembre 2022] : : un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres.

incident lié aux TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière.

incident opérationnel ou de sécurité lié au paiement [Règlement DORA n°2022/2554 du 14 décembre 2022] : un événement ou une série d’événements liés entre eux que les entités financières visées à l’article 2, paragraphe 1, points a) à d), n’ont pas prévu, lié ou non aux TIC, qui a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données liées au paiement ou sur les services liés au paiement fournis par l’entité financière.

incident majeur lié aux TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière.

incident opérationnel ou de sécurité majeur lié au paiement [[Règlement DORA n°2022/2554 du 14 décembre 2022] : un incident opérationnel ou de sécurité lié au paiement qui a une incidence négative élevée sur les services fournis liés au paiement.

incident lié à l’informatique [Directive DORA n°2022/2554 du 14 décembre 2022] : un événement imprévu détecté dans les réseaux et les systèmes d’information, qu’il résulte ou non d’une activité malveillante, qui compromet la sécurité des réseaux et des systèmes d’information, des informations que ces systèmes traitent, stockent ou transmettent, ou qui a des effets préjudiciables sur la disponibilité, la confidentialité, la continuité ou l’authenticité des services financiers fournis par l’entité financière.

incident [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit.

infrastructure critique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel.

incident lié à la sécurité de l’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : un ou plusieurs événement(s) liés à la sécurité de l’information, indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme ou de menacer la sécurité de l’information.

infrastructure technique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des composants matériels et logiciels nécessaires à la fourniture d’un service d’informatique en nuage (IaaS, CaaS, PaaS, SaaS, etc.).

interface d'administration [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : interface logicielle permettant à une entité disposant des privilèges requis (un administrateur, un compte de service, un développeur « DevOps », etc.) de réaliser des actions d’administration d’un système d’information.

intergiciel (middleware) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : logiciel qui se trouve entre un système d’exploitation et les applications qui s’exécutent sur celui-ci, afin de faciliter les interactions entre elles.

interface en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : tout logiciel, y compris un site internet ou une section de site internet, et des applications, notamment des applications mobiles.

incident informatique [Article L. 2321-4-1 du Code de la défense modifié par la LPM du 1er août 2023] : tout événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles.