Dictionnaire LEGAL du numérique

Tous A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
pare-feu [Ex glossaire technique en ligne de l'ANSSI]
pare-feu [Ex glossaire technique en ligne de l'ANSSI] : un pare-feu (ou garde-barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.
pénalité [clause pénale] [article 1231-5 Code civil]
pénalité [clause pénale] [article 1231-5 Code civil] : Lorsque le contrat stipule que celui qui manquera de l'exécuter paiera une certaine somme à titre de dommages et intérêts, il ne peut être alloué à l'autre partie une somme plus forte ni moindre. Néanmoins, le juge peut, même d'office, modérer ou augmenter la pénalité ainsi convenue si elle est manifestement excessive ou dérisoire. Lorsque l'engagement a été exécuté en partie, la pénalité convenue peut être diminuée par le juge, même d'office, à proportion de l'intérêt que l'exécution partielle a procuré au créancier, sans préjudice de l'application de l'alinéa précédent. Toute stipulation contraire aux deux alinéas précédents est réputée non écrite. Sauf inexécution définitive, la pénalité n'est encourue que lorsque le débiteur est mis en demeure.
pénalité [clause pénale] [TVA - Bulletin Officiel des Finances Publiques]
pénalité [clause pénale] [TVA - Bulletin Officiel des Finances Publiques] :

Les pénalités de retard sont considérées comme des indemnités, ayant pour objet de sanctionner le retard pris par le fournisseur dans l'exécution du contrat et de réparer le préjudice subi, de ce fait, par le client.

Elles ne constituent pas la contrepartie d'une livraison de biens ou d'une prestation de services et ne sont donc pas situées dans le champ d'application de la TVA.

perte [de données personnelles] [Règlement RGPD]
perte [de données à caractère personnel] [cité à l'article 32 "sécurité du traitement" Règlement RGPD n°2016/679 du 27 avril 2016] : 2 - Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite". ---> NDLR : définition de "violation" de données à caractère personnel (article 4 RGPD) : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.  
phishing [Ex glossaire technique en ligne de l'ANSSI]
phishing [Ex glossaire technique en ligne de l'ANSSI] : vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.
point d'accès sans fil à portée limitée [Directive CCEE 2018]
point d'accès sans fil à portée limitée [Directive CCEE n°2018/1972 du 11 décembre 2018] : un équipement d’accès sans fil au réseau à faible puissance, de taille réduite et de portée limitée, utilisant le spectre radioélectrique sous licence ou en exemption de licence ou une combinaison de spectre radioélectrique sous licence et en exemption de licence, qui peut être utilisé comme une partie d’un réseau de communications électroniques public, qui peut être équipé d’une ou plusieurs antennes à faible impact visuel, et qui permet l’accès sans fil des utilisateurs aux réseaux de communications électroniques quelle que soit la topologie de réseau sous-jacente, qu’il s’agisse d’un réseau mobile ou fixe.
point de terminaison du réseau [Directive CCEE 2018]
point de terminaison du réseau [Directive CCEE n°2018/1972 du 11 décembre 2018] : e point physique auquel un utilisateur final obtient l’accès à un réseau de communications électroniques public et qui est, dans le cas de réseaux utilisant la commutation et l’acheminement, identifié par une adresse réseau spécifique, qui peut être rattachée au numéro ou au nom d’un utilisateur final.
point de terminaison du réseau [Directive Paquet Télécom II 2009]
point de terminaison du réseau [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : point physique par lequel un abonné obtient l’accès à un réseau de communications public; dans le cas de réseaux utilisant la commutation et l’acheminement, le PTR est identifié par une adresse réseau spécifique qui peut être rattachée au numéro ou au nom de l’abonné.
politique d'horodatage [ANSSI référentiel RGS v2]
politique d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : ensemble de règles, identifié par un nom (OID), définissant les exigences auxquelles une AH se conforme dans la mise en place et la fourniture de ses prestations et indiquant l'applicabilité d'une contremarque de temps à une communauté particulière et/ou une classe d'application avec des exigences de sécurité communes. Une PH peut également, si nécessaire, identifier les obligations et exigences portant sur les autres intervenants, notamment les abonnés et les utilisateurs de contremarques de temps.
politique de sécurité économique [décret du 20 mars 2019]
politique de sécurité économique [décret n°2019-206 du 20 mars 2019 relatif à la gouvernance de la politique de sécurité économique] article 1er : I. - La politique de sécurité économique vise à assurer la défense et la promotion des intérêts économiques, industriels et scientifiques de la Nation, constitués notamment des actifs matériels et immatériels stratégiques pour l'économie française. Elle inclut la défense de la souveraineté numérique. II. - L'instruction des décisions proposées au conseil de défense et de sécurité nationale en matière de sécurité économique et le suivi de leur mise en œuvre sont coordonnés par le comité de liaison en matière de sécurité économique. Présidé par le secrétaire général de la défense et de la sécurité nationale, ce comité réunit, outre le coordonnateur national du renseignement et de la lutte contre le terrorisme, les représentants des ministres chargés de l'Europe et des affaires étrangères, des armées, de la transition écologique, des solidarités et de la santé, de l'économie et des finances, de l'action et des comptes publics, de l'intérieur, de l'enseignement supérieur, de la recherche et de l'innovation, de l'agriculture et de l'alimentation. Des représentants d'autres ministères peuvent également être invités en fonction de l'ordre du jour du comité. Il coordonne les actions menées par les services de l'Etat en matière de sécurité économique. Il concourt à la cohérence des politiques publiques mises en œuvre par chaque ministère concerné avec la politique de sécurité économique.
porte dérobée [Ex glossaire technique en ligne de l'ANSSI]
porte dérobée [Ex glossaire technique en ligne de l'ANSSI] : accès dissimulé, soit logiciel soit matériel, qui permet à un utilisateur malveillant de se connecter à une machine de manière furtive.
posture permanente cyber [PPC] [Politique ministérielle de lutte informatique défensive 2019]
posture permanente cyber [PPC] [politique ministérielle de lutte informatique défensive 2019] : la PPC est constituée de l’ensemble des dispositions adoptées pour assurer en permanence (24h/7j) la défense des systèmes informatiques du ministère [des armées]. Elle identifie quatre niveaux de menace : - jaune et orange : risques potentiels plus ou moins importants ; - rouge : risques hostiles jugés plausibles ; - écarlate : risques majeurs et simultanés. ---> NOTE : le .pdf de référence du Ministère des armées est sans date. La date retenue est celle de sa dernière consultation en ligne.
potentiel d’attaque [ANSSI Référentiel PVID 2021]
potentiel d’attaque [ANSSI Référentiel PVID du 1er mars 2021 (Prestataire de Vérification d'Identité à Distance)] : mesure de l’effort à fournir pour attaquer un service de vérification d’identité à distance, exprimée en termes d’expertise, de ressources et de motivation d’un attaquant. L’annexe B.4 du document [CC_CEM] fournit des indications relatives au calcul d’un potentiel d’attaque élevé (« high ») ou modéré (« moderate »).
prestataire de services de confiance [Règlement eIDAS 2014]
prestataire de services de confiance [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié.
prestataire de services de confiance qualifié [Règlement eIDAS 2014]
prestataire de services de confiance qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un prestataire de services de confiance qui fournit un ou plusieurs services de confiance qualifiés et a obtenu de l’organe de contrôle le statut qualifié.
prestation de cryptologie [Loi LCEN du 21 juin 2004]
prestation de cryptologie [Loi LCEN n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique] : toute opération visant à la mise en œuvre, pour le compte d'autrui, de moyens de cryptologie.
primitive cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Primitive cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Mécanisme cryptographique utilisé pour construire un mécanisme de plus haut niveau.
processus (informatique) [NORME internationale ISO 27000:2018]
processus (informatique) [NORME internationale ISO 27000:2018] : ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie. ---> voir la définition de "processus TIC"
processus TIC [Règlement Cyber Security Act 2019-881 du 17 avril 2019]
processus TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance.
produit [Règlement eIDAS n°910/2014 du 23 juillet 2014]
produit [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un dispositif matériel ou logiciel, ou les composants correspondants du dispositif matériel ou logiciel, qui sont destinés à être utilisés pour la fourniture de services de confiance.
produit de sécurité [ANSSI référentiel RGS v2 du 13 juin 2014]
produit de sécurité [ANSSI Référentiel "RGS" du 13 juin 2014 (Référentiel Général de Sécurité)] : un dispositif, de nature logicielle et/ou matérielle, dont l’utilisation est requise pour mettre en œuvre des fonctions de sécurité nécessaires à la sécurisation d’une information dématérialisée (lors d'un échange, d'un traitement et/ou du stockage de cette information). Ce terme générique couvre notamment les dispositifs de signature électronique, les dispositifs d’authentification et les dispositifs de protection de la confidentialité.
produit TIC [Règlement Cyber Security Act 2019-881 du 17 avril 2019]
produit TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma [du système] d’information.
profilage [Règlement RGPD n°2016/679 du 27 avril 2016]
profilage [Règlement RGPD 2016/679 du 27 avril 2016] : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
programme d'ordinateur [Directive Logiciel du 23 avril 2009]
programme d'ordinateur [Directive Logiciel n°2009/24/CE du 23 avril 2009] : les programmes sous quelque forme que ce soit, y compris ceux qui sont incorporés au matériel.
prospection directe [communications électroniques] [L.34-5 CPCE]
prospection directe [par communications électroniques] [article L.34-5 du "CPCE" ou Code des Postes et des Communications Electroniques] : l'envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services. Pour l'application du présent article [L.34-5 CPCE], les appels et messages ayant pour objet d'inciter l'utilisateur ou l'abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe.
protocole blockchain [pas de définition légale]
protocole blockchain [pas de définition légale] : ---> voir "DEEP" ou "Dispositif d'Enregistrement Electronique Partagé" [cliquez sur le lien ci-dessous pour accéder à la définition légale correspondante]
protocole cryptographique [ANSSI guide de sélection d'algorithmes cryptographiques]
Protocole cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Protocole qui implémente une fonction de sécurité utilisant de la cryptographie et qui peut être considéré comme un schéma cryptographique interactif.
PSAP [Directive CCEE n°2018/1972 du 11 décembre 2018]
PSAP [Directive UE CCEE n°2018/1972 du 11 décembre 2018] : un lieu physique où est réceptionnée initialement une communication d’urgence sous la responsabilité d’une autorité publique ou d’un organisme privé reconnu par l’État membre.
PSAP le plus approprié [Directive CCEE 2018]
PSAP le plus approprié [Directive CCEE n°2018/1972 du 11 décembre 2018] : un PSAP établi par les autorités compétentes pour prendre en charge les communications d’urgence provenant d’une certaine zone ou les communications d’urgence d’un certain type.
pseudonymisation [cité dans RGPD] sécurité du traitement
pseudonymisation [cité à l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  • la pseudonymisation et le chiffrement des données à caractère personnel;

  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

  • une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

pseudonymisation [Règlement RGPD du 27 avril 2016]
pseudonymisation [Règlement RGPD n°2016/679 du 27 avril 2016] : le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable.
PTR [Directive Paquet Télécom II du 25 novembre 2009]
PTR ou point de terminaison du réseau [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : point physique par lequel un abonné obtient l’accès à un réseau de communications public; dans le cas de réseaux utilisant la commutation et l’acheminement, le PTR est identifié par une adresse réseau spécifique qui peut être rattachée au numéro ou au nom de l’abonné.
point d'échange internet [Directive NISv2 - 14 décembre 2022]
point d'échange internet [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une structure de réseau qui permet l’ interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet, qui n’assure l’interconnexion que pour des systèmes autonomes et qui n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic.
plateforme de services de réseaux sociaux [Directive NISv2 - 14 décembre 2022]
plateforme de services de réseaux sociaux [Directive NISv2 n°2022/2555 du 14 décembre 2022] : une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations.
prestataire tiers de services TIC [Règlement DORA - 14 décembre 2022]
prestataire tiers de services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fournit des services TIC.
prestataire de services TIC intra-groupe [Règlement DORA - 14 décembre 2022]
prestataire de services TIC intra-groupe [Règlement DORA n°2022/2554 du 14 décembre 2022] : une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité.
prestataire tiers critique de services TIC [Règlement DORA - 14 décembre 2022]
prestataire tiers critique de services TIC [Règlement DORA n° 2022/2554 du 14 décembre 2022] : un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31.
prestataire tiers de services TIC établi dans un pays tiers [Règlement DORA - 14 décembre 2022]
prestataire tiers de services TIC établi dans un pays tiers [Règlement DORA n°2022/2554 du 14 décembre 2022] : un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC.
politique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
politique [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : intentions et orientations d’un organisme telles que formalisées par sa direction.
prestataire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
prestataire [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : organisme proposant un service d’informatique en nuage et visant la qualification.
prestataire d'audit de la sécurité des systèmes d'information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2]
prestataire d'audit de la sécurité des systèmes d'information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : organisme réalisant des prestations d’audit de la sécurité des systèmes d’information. Il est dit qualifié si un organisme de qualification a attesté de sa conformité au Référentiel d’exigences des prestataires d’audit de la sécurité des systèmes d’information.
proposer des services dans l'Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
proposer des services dans l'Union [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : permettre aux personnes physiques ou morales dans un ou plusieurs États membres d’utiliser les services d’un fournisseur de services intermédiaires qui a un lien étroit avec l’Union.
professionnel [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
professionnel [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : toute personne physique, ou toute personne morale qu’elle soit privée ou publique, qui agit, y compris par l’intermédiaire d’une personne agissant en son nom ou pour son compte, à des fins entrant dans le cadre de son activité commerciale, industrielle, artisanale ou libérale;
plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
plateforme en ligne [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un service d’hébergement qui, à la demande d’un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d’un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l’intégration de cette caractéristique ou de cette fonctionnalité à l’autre service ne soit pas un moyen de contourner l’applicabilité du présent règlement ;
publicité [Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
publicité [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les informations destinées à promouvoir le message d’une personne physique ou morale, qu’elles aient des visées commerciales ou non commerciales, et présentées par une plateforme en ligne sur son interface en ligne, moyennant rémunération, dans le but spécifique de promouvoir ces informations.
personnes handicapées[Règlement UE 2022/2065 « DSA » du 19 octobre 2022]
personnes handicapées [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : les “personnes handicapées” visées à l’article 3, point 1), de la directive (UE) 2019/882 du Parlement européen et du Conseil (les personnes qui présentent une incapacité physique, mentale, intellectuelle ou sensorielle durable dont l’interaction avec diverses barrières peut faire obstacle à leur pleine et effective participation à la société sur la base de l’égalité avec les autres) ;
produit comportant des éléments numériques [Cyber Resilience Act, texte adopté, 12 mars 2024]
produit comportant des éléments numériques [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;
point terminal [Cyber Resilience Act, texte adopté, 12 mars 2024]
point terminal [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : tout dispositif connecté à un réseau et servant de point d’entrée à ce réseau ;
période d’assistance [Cyber Resilience Act, texte adopté, 12 mars 2024]
période d’assistance [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles énoncées à l’annexe I, partie II ;
plan d’essais en conditions réelles [Règlement IA du 13 juin 2024]
plan d’essais en conditions réelles [Règlement "IA" du 13 juin 2024 2024/1689] : un document décrivant les objectifs, la méthode, la population et le champ d’application géographique et la portée dans le temps, le suivi, l’organisation et la conduite des essais en conditions réelles ;
plan du bac à sable [Règlement IA du 13 juin 2024]
plan du bac à sable [Règlement "IA" du 13 juin 2024 2024/1689] : un document adopté conjointement entre le fournisseur participant et l’autorité compétente, qui décrit les objectifs, les conditions, les délais, la méthodologie et les exigences applicables aux activités réalisées au sein du bac à sable ;
partage de données [Règlement UE 2022/868 «DGA » du 30 mai 2022]
partage de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : la fourniture de données à un utilisateur de données par une personne concernée ou un détenteur de données, en vue de l’utilisation conjointe ou individuelle desdites données, sur la base d’accords volontaires ou du droit de l’Union ou du droit national, directement ou via un intermédiaire, par exemple dans le cadre de licences ouvertes ou commerciales, moyennant le paiement d’une redevance ou gratuitement ;
pare-feu [CyberDico ANSSI, 15 juillet 2024]
pare-feu (ou firewall) [CyberDico ANSSI, 15 juillet 2024] : Un pare-feu (ou garde barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes
PRA [CyberDico ANSSI, 15 juillet 2024]
PRA (Plan de Reprise d'Activité) [CyberDico ANSSI, 15 juillet 2024] : Procédures documentées permettant aux entités de rétablir et de reprendre leurs activités en s’appuyant sur des mesures temporaires adoptées pour répondre aux exigences métier habituelles après un incident.
port [CyberDico ANSSI, 15 juillet 2024]
port [CyberDico ANSSI, 15 juillet 2024] : Code numérique utilisé dans les protocoles comme TCP ou UDP pour identifier à quel service appartient un paquet d’information du protocole IP. Par exemple, le service http est associé au port 80. La notion de port peut être assimilée à une porte donnant accès au système d’exploitation.
POC [CyberDico ANSSI, 15 juillet 2024]
POC (proof of concept / démonstration de faisabilité) [CyberDico ANSSI, 15 juillet 2024] : démonstration de la faisabilité d’une attaque utilisant une vulnérabilité donnée.
produit de sécurité [CyberDico ANSSI, 15 juillet 2024]
produit de sécurité [CyberDico ANSSI, 15 juillet 2024] : Dispositif matériel ou logiciel conçu pour protéger la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que les systèmes d’information offrent ou qu’ils rendent accessibles.
polymorphe [CyberDico ANSSI, 15 juillet 2024]
polymorphe [CyberDico ANSSI, 15 juillet 2024] : se dit d’un ver ou d’un virus dont le code est chiffré, changeant le code de déchiffrement d’une infection à l’autre, et donc l’apparence et/ou la signature.
point d'eau [CyberDico ANSSI, 15 juillet 2024]
point d'eau (attaque par) [CyberDico ANSSI, 15 juillet 2024] : Ce type d’attaque est destiné à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblée. La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant. Les cas sont nombreux de sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres, et permettre ainsi d’accéder aux réseaux les plus sensibles de ceux-ci. Les secteurs les plus stratégiques sont évidemment les plus ciblés.
plan de rémédiation [CyberDico ANSSI, 15 juillet 2024]
plan de rémédiation [CyberDico ANSSI, 15 juillet 2024] : Plan visant à la reconstruction d'un SI à la suite d'une attaque.
PCA [CyberDico ANSSI, 15 juillet 2024]
PCA (Plan de Continuité d'Activité) [CyberDico ANSSI, 15 juillet 2024] : Ensemble de procédures documentées servant de guides aux entités pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la suite d’une perturbation.
pare-feu [CyberDico ANSSI, 15 juillet 2024]
pare-feu [CyberDico ANSSI, 15 juillet 2024] : Un pare-feu (ou garde barrière), est un outil permettant de protéger un ordinateur connecté à un réseau ou à l’internet. Il protège d’attaques externes (filtrage entrant) et souvent de connexions illégitimes à destination de l’extérieur (filtrage sortant) initialisées par des programmes ou des personnes.
phishing [CyberDico ANSSI, 15 juillet 2024]
phishing [CyberDico ANSSI, 15 juillet 2024] : Vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime. Les sites sont reproduits, après avoir été aspirés. L’utilisateur est souvent invité à visiter le site frauduleux par un courrier électronique.
pirate informatique [CyberDico ANSSI, 15 juillet 2024]
pirate informatique [CyberDico ANSSI, 15 juillet 2024] : On appelle communément pirate l’auteur d’une attaque informatique
prestataire de sécurité [CyberDico ANSSI, 15 juillet 2024]
prestataire de sécurité (MSSP : Managed Security Service Provider) [CyberDico ANSSI, 15 juillet 2024] : entité proposant une offre de service de sécurité des systèmes d’information conforme au référentiel.
password spraying [CyberDico ANSSI, 15 juillet 2024]
password spraying [CyberDico ANSSI, 15 juillet 2024] : Fait de tenter l'ouverture de plusieurs comptes avec un seul mot de passe, souvent très utilisé.
peer-to-peer [CyberDico ANSSI, 15 juillet 2024]
peer-to-peer (P2P) [CyberDico ANSSI, 15 juillet 2024] : réseau où chaque entité est à la fois client et serveur. Réseau d’échange et de partage de fichiers de particulier à particulier.
Prestataires d'accompagnement et de conseil en sécurité des systèmes d’information (PACS) [CyberDico ANSSI, 15 juillet 2024]
Prestataires d'accompagnement et de conseil en sécurité des systèmes d’information (PACS) [CyberDico ANSSI, 15 juillet 2024] : Le référentiel PACS a pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information, et notamment d’homologation de sécurité, de gestion des risques, de conception d’architectures sécurisées, et de préparation à la gestion de crises d’origine cyber.
Prestataires d’administration et de maintenance sécurisées (PAMS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataires d’administration et de maintenance sécurisées (PAMS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestataires d’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations.
Prestataire d’audit de la sécurité des systèmes d'information (PASSI) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire d’audit de la sécurité des systèmes d'information (PASSI) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits. La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et physique.
Prestataire de détection d’incidents de sécurité (PDIS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire de détection d’incidents de sécurité (PDIS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents. La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité.
Prestataire de réponse aux incidents de sécurité (PRIS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire de réponse aux incidents de sécurité (PRIS) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents. La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.
Prestataire de service informatique dans le nuage (SecNumCloud) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire de service informatique dans le nuage (SecNumCloud) – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service).
Prestataire de service de confiance [qualifié] – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024]
Prestataire de service de confiance [qualifié] – référentiel d’exigences [CyberDico ANSSI, 15 juillet 2024] : Les référentiels d’exigences relatifs aux prestataires de services de confiance formalisent les règles applicables aux organismes désirant obtenir une qualification dans les domaines suivants : délivrance de certificats électroniques, horodatage électronique, validation des signatures et cachets électroniques, conservation des signatures et cachets électroniques, envoi recommandé électronique.
Produit comportant des éléments numériques [Règlement « CRA » 2024/2847 du 23 octobre 2024]
produit comportant des éléments numériques [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément ;
Point terminal [Règlement « CRA » 2024/2847 du 23 octobre 2024]
point terminal [Règlement « CRA » 2024/2847 du 23 octobre 2024] : tout dispositif connecté à un réseau et servant de point d’entrée à ce réseau ;
Période d'assistance [Règlement « CRA » 2024/2847 du 23 octobre 2024]
période d'assistance [Règlement « CRA » 2024/2847 du 23 octobre 2024] : la période au cours de laquelle un fabricant est tenu de garantir que les vulnérabilités d’un produit comportant des éléments numériques sont traitées efficacement et conformément aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;