pare-feu [glossaire technique en ligne de l'ANSSI] : un pare-feu (ou garde-barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.

partage de données [PROJET de Règlement DGA du 25 novembre 2020 (Data Governance Act)] : la fourniture de données à un utilisateur de données par un détenteur de données, en vue d’une utilisation conjointe ou individuelle des données partagées, sur la base d’accords volontaires, directement ou via un intermédiaire.

pénalité [clause pénale] [article 1231-5 Code civil] : Lorsque le contrat stipule que celui qui manquera de l'exécuter paiera une certaine somme à titre de dommages et intérêts, il ne peut être alloué à l'autre partie une somme plus forte ni moindre. Néanmoins, le juge peut, même d'office, modérer ou augmenter la pénalité ainsi convenue si elle est manifestement excessive ou dérisoire. Lorsque l'engagement a été exécuté en partie, la pénalité convenue peut être diminuée par le juge, même d'office, à proportion de l'intérêt que l'exécution partielle a procuré au créancier, sans préjudice de l'application de l'alinéa précédent. Toute stipulation contraire aux deux alinéas précédents est réputée non écrite. Sauf inexécution définitive, la pénalité n'est encourue que lorsque le débiteur est mis en demeure.

pénalité [clause pénale] [TVA - Bulletin Officiel des Finances Publiques] :

Les pénalités de retard sont considérées comme des indemnités, ayant pour objet de sanctionner le retard pris par le fournisseur dans l'exécution du contrat et de réparer le préjudice subi, de ce fait, par le client.

Elles ne constituent pas la contrepartie d'une livraison de biens ou d'une prestation de services et ne sont donc pas situées dans le champ d'application de la TVA.

performance d'un système d'IA [PROJET de Règlement IA du 21 avril 2021 établissant des règles harmonisées concernant l'intelligence artificielle] : la capacité d’un système d’IA à remplir sa destination.

perte [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  

phishing [glossaire technique en ligne de l'ANSSI] : vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.

point d'accès sans fil à portée limitée [Directive CCEE n°2018/1972 du 11 décembre 2018] : un équipement d’accès sans fil au réseau à faible puissance, de taille réduite et de portée limitée, utilisant le spectre radioélectrique sous licence ou en exemption de licence ou une combinaison de spectre radioélectrique sous licence et en exemption de licence, qui peut être utilisé comme une partie d’un réseau de communications électroniques public, qui peut être équipé d’une ou plusieurs antennes à faible impact visuel, et qui permet l’accès sans fil des utilisateurs aux réseaux de communications électroniques quelle que soit la topologie de réseau sous-jacente, qu’il s’agisse d’un réseau mobile ou fixe.

point de terminaison du réseau [Directive CCEE n°2018/1972 du 11 décembre 2018] : e point physique auquel un utilisateur final obtient l’accès à un réseau de communications électroniques public et qui est, dans le cas de réseaux utilisant la commutation et l’acheminement, identifié par une adresse réseau spécifique, qui peut être rattachée au numéro ou au nom d’un utilisateur final.

point de terminaison du réseau [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : point physique par lequel un abonné obtient l’accès à un réseau de communications public; dans le cas de réseaux utilisant la commutation et l’acheminement, le PTR est identifié par une adresse réseau spécifique qui peut être rattachée au numéro ou au nom de l’abonné.

politique d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : ensemble de règles, identifié par un nom (OID), définissant les exigences auxquelles une AH se conforme dans la mise en place et la fourniture de ses prestations et indiquant l'applicabilité d'une contremarque de temps à une communauté particulière et/ou une classe d'application avec des exigences de sécurité communes. Une PH peut également, si nécessaire, identifier les obligations et exigences portant sur les autres intervenants, notamment les abonnés et les utilisateurs de contremarques de temps.

politique de sécurité économique [décret n°2019-206 du 20 mars 2019 relatif à la gouvernance de la politique de sécurité économique] article 1er : I. - La politique de sécurité économique vise à assurer la défense et la promotion des intérêts économiques, industriels et scientifiques de la Nation, constitués notamment des actifs matériels et immatériels stratégiques pour l'économie française. Elle inclut la défense de la souveraineté numérique. II. - L'instruction des décisions proposées au conseil de défense et de sécurité nationale en matière de sécurité économique et le suivi de leur mise en œuvre sont coordonnés par le comité de liaison en matière de sécurité économique. Présidé par le secrétaire général de la défense et de la sécurité nationale, ce comité réunit, outre le coordonnateur national du renseignement et de la lutte contre le terrorisme, les représentants des ministres chargés de l'Europe et des affaires étrangères, des armées, de la transition écologique, des solidarités et de la santé, de l'économie et des finances, de l'action et des comptes publics, de l'intérieur, de l'enseignement supérieur, de la recherche et de l'innovation, de l'agriculture et de l'alimentation. Des représentants d'autres ministères peuvent également être invités en fonction de l'ordre du jour du comité. Il coordonne les actions menées par les services de l'Etat en matière de sécurité économique. Il concourt à la cohérence des politiques publiques mises en œuvre par chaque ministère concerné avec la politique de sécurité économique.

porte dérobée [glossaire technique en ligne de l'ANSSI] : accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.

posture permanente cyber [PPC] [politique ministérielle de lutte informatique défensive 2019] : la PPC est constituée de l’ensemble des dispositions adoptées pour assurer en permanence (24h/7j) la défense des systèmes informatiques du ministère [des armées]. Elle identifie quatre niveaux de menace : - jaune et orange : risques potentiels plus ou moins importants ; - rouge : risques hostiles jugés plausibles ; - écarlate : risques majeurs et simultanés. ---> NOTE : le .pdf de référence du Ministère des armées est sans date. La date retenue est celle de sa dernière consultation en ligne.

potentiel d’attaque [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : mesure de l’effort à fournir pour attaquer un service de vérification d’identité à distance, exprimée en termes d’expertise, de ressources et de motivation d’un attaquant. L’annexe B.4 du document [CC_CEM] fournit des indications relatives au calcul d’un potentiel d’attaque élevé (« high ») ou modéré (« moderate »).

prestataire de services de confiance [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié.

prestataire de services de confiance qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié.

prestation de cryptologie [Loi LCEN n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique] : toute opération visant à la mise en œuvre, pour le compte d'autrui, de moyens de cryptologie.

Primitive cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Mécanisme cryptographique utilisé pour construire un mécanisme de plus haut niveau.

processus (informatique) [NORME internationale ISO 27000:2018] : ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie. ---> voir la définition de "processus TIC"

processus TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance.

produit [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services de confiance.

produit de sécurité [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : un dispositif, de nature logicielle et/ou matérielle, dont l’utilisation est requise pour mettre en œuvre des fonctions de sécurité nécessaires à la sécurisation d’une information dématérialisée (lors d'un échange, d'un traitement et/ou du stockage de cette information). Ce terme générique couvre notamment les dispositifs de signature électronique, les dispositifs d’authentification et les dispositifs de protection de la confidentialité.

produit TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma [du système] d’information.

profilage [Règlement RGPD 2016/679 du 27 avril 2016] : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

programme d'ordinateur [Directive Logiciel n°2009/24/CE du 23 avril 2009] : les programmes sous quelque forme que ce soit, y compris ceux qui sont incorporés au matériel.

prospection directe [par communications électroniques] [article L.34-5 du "CPCE" ou Code des Postes et des Communications Electroniques] : l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. Pour l'application du présent article [L.34-5 CPCE], les appels et messages ayant pour objet d'inciter l'utilisateur ou l'abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe.

protocole blockchain [pas de définition légale] : ---> voir "DEEP" ou "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à la définition légale correspondante]

Protocole cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Protocole qui implémente une fonction de sécurité utilisant de la cryptographie et qui peut être considéré comme un schéma cryptographique interactif.

PSAP [Directive UE CCEE n°2018/1972 du 11 décembre 2018] : un lieu physique où est réceptionnée initialement une communication d’urgence sous la responsabilité d’une autorité publique ou d’un organisme privé reconnu par l’État membre.

PSAP le plus approprié [Directive CCEE n°2018/1972 du 11 décembre 2018] : un PSAP établi par les autorités compétentes pour prendre en charge les communications d’urgence provenant d’une certaine zone ou les communications d’urgence d’un certain type.

pseudonymisation [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

pseudonymisation [Règlement RGPD n°2016/679 du 27 avril 2016] : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.

PTR ou point de terminaison du réseau [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : point physique par lequel un abonné obtient l’accès à un réseau de communications public; dans le cas de réseaux utilisant la commutation et l’acheminement, le PTR est identifié par une adresse réseau spécifique qui peut être rattachée au numéro ou au nom de l’abonné.

point d'échange internet [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une structure de réseau qui permet l’ interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet, qui n’assure l’interconnexion que pour des systèmes autonomes et qui n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic.

plateforme de services de réseaux sociaux [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations.

prestataire tiers de services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fournit des services TIC.

prestataire de services TIC intra-groupe [Règlement DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité.

prestataire tiers critique de services TIC [Règlement DORA n° 2022/2554 du 14 décembre 2022] : un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31.

prestataire tiers de services TIC établi dans un pays tiers [Règlement DORA n°2022/2554 du 14 décembre 2022] : un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC.

politique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : intentions et orientations d’un organisme telles que formalisées par sa direction.

prestataire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : organisme proposant un service d’informatique en nuage et visant la qualification.

prestataire d'audit de la sécurité des systèmes d'information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : organisme réalisant des prestations d’audit de la sécurité des systèmes d’information. Il est dit qualifié si un organisme de qualification a attesté de sa conformité au Référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information.

proposer des services dans l'Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : permettre aux personnes physiques ou morales dans un ou plusieurs États membres d’utiliser les services d’un fournisseur de services intermédiaires qui a un lien étroit avec l’Union.

professionnel [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute personne physique, ou toute personne morale qu’elle soit privée ou publique, qui agit, y compris par l’intermédiaire d’une personne agissant en son nom ou pour son compte, à des fins entrant dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;

plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un service d’hébergement qui, à la demande d’un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d’un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l’intégration de cette caractéristique ou de cette fonctionnalité à l’autre service ne soit pas un moyen de contourner l’applicabilité du présent règlement ;

publicité [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les informations destinées à promouvoir le message d’une personne physique ou morale, qu’elles aient des visées commerciales ou non commerciales, et présentées par une plateforme en ligne sur son interface en ligne, moyennant rémunération, dans le but spécifique de promouvoir ces informations.

personnes handicapées [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les “personnes handicapées” visées à l’article 3, point 1), de la directive (UE) 2019/882 du Parlement européen et du Conseil (les personnes qui présentent une incapacité physique, mentale, intellectuelle ou sensorielle durable dont l’interaction avec diverses barrières peut faire obstacle à leur pleine et effective participation à la société sur la base de l’égalité avec les autres) ;