SAIV ---> voir secteurs d'activités d'importance vitale [arrêté du 6 juin 2006]

liste des secteurs d'activités d'importance vitale [arrêté du 2 juin 2006]

savoir-faire ou information [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : [Considérant 14] Il importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite. Cette définition devrait dès lors être élaborée de façon à couvrir les savoir-faire, les informations commerciales et les informations technologiques lorsqu'il existe à la fois un intérêt légitime à les garder confidentiels et une attente légitime de protection de cette confidentialité. Par ailleurs, ces savoir-faire ou informations devraient avoir une valeur commerciale, effective ou potentielle. Ces savoir-faire ou informations devraient être considérés comme ayant une valeur commerciale, par exemple lorsque leur obtention, utilisation ou divulgation illicite est susceptible de porter atteinte aux intérêts de la personne qui en a le contrôle de façon licite en ce qu'elle nuit au potentiel scientifique et technique de cette personne, à ses intérêts économiques ou financiers, à ses positions stratégiques ou à sa capacité concurrentielle. La définition du secret d'affaires exclut les informations courantes et l'expérience et les compétences obtenues par des travailleurs dans l'exercice normal de leurs fonctions et elle exclut également les informations qui sont généralement connues de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou qui leur sont aisément accessibles.

Schéma cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : algorithme cryptographique distribué faisant intervenir plusieurs entités (possédant généralement un secret partagé) qui atteint un objectif de sécurité.

schéma d'identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales.

schéma européen de certification de cybersécurité [ Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble complet de règles, d’exigences techniques, de normes et de procédures qui sont établies à l’échelon de [l’UE] et qui s’appliquent à la certification ou à l’évaluation de la conformité de produits TIC, services TIC ou processus TIC spécifiques.

schéma national de certification de cybersécurité [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble complet de règles, d’exigences techniques, de normes et de procédures élaborées et adoptées par une autorité publique nationale et qui s’appliquent à la certification ou à l’évaluation de la conformité des produits TIC, services TIC et processus TIC relevant de ce schéma spécifique.

Schémas symétriques d'authentification d'entité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Ces schémas permettent à une entité de prouver son identité à un correspondant en utilisant la connaissance d’un secret. Par nature, ces schémas sont interactifs. Ils consistent généralement à mettre en oeuvre un protocole de défi-réponse reposant sur l’utilisation d’aléa et d’une primitive symétrique ou d’un mécanisme de chiffrement ou d’intégrité. Nous ne donnons pas de liste pour ce type de schéma. Il est important de garder à l’esprit que même si ces schémas peuvent reposer sur le calcul d’un motif d’intégrité, leurs objectifs de sécurité sont différents de ceux des schémas d’authentification de données. Par conséquent, une même clé ne doit pas être utilisée pour un mode d’intégrité et pour un schéma symétrique d’authentification d’entité.

secret d'affaires 1 [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : [Considérant 14] Il importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite. Cette définition devrait dès lors être élaborée de façon à couvrir les savoir-faire, les informations commerciales et les informations technologiques lorsqu'il existe à la fois un intérêt légitime à les garder confidentiels et une attente légitime de protection de cette confidentialité. Par ailleurs, ces savoir-faire ou informations devraient avoir une valeur commerciale, effective ou potentielle. Cescsavoir-faire ou informations devraient être considérés comme ayant une valeur commerciale, par exemple lorsque leur obtention, utilisation ou divulgation illicite est susceptible de porter atteinte aux intérêts de la personne qui en a le contrôle de façon licite en ce qu'elle nuit au potentiel scientifique et technique de cette personne, à ses intérêts économiques ou financiers, à ses positions stratégiques ou à sa capacité concurrentielle. La définition du secret d'affaires exclut les informations courantes et l'expérience et les compétences obtenues par des travailleurs dans l'exercice normal de leurs fonctions et elle exclut également les informations qui sont généralement connues de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou qui leur sont aisément accessibles.

secret d'affaires [Directive Secrets d'affaires n°2016/943 du 8 juin 2016, Article 2] : des informations qui répondent à toutes les conditions suivantes : a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles, b) elles ont une valeur commerciale parce qu'elles sont secrètes, c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes.

secret de la défense nationale [article 413-9 du Code pénal] : Présentent un caractère de secret de la défense nationale au sens de la présente section les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers intéressant la défense nationale qui ont fait l'objet de mesures de classification destinées à restreindre leur diffusion ou leur accès. Peuvent faire l'objet de telles mesures les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation ou auxquels l'accès est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d'un secret de la défense nationale. Les niveaux de classification des procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers présentant un caractère de secret de la défense nationale et les autorités chargées de définir les modalités selon lesquelles est organisée leur protection sont déterminés par décret en Conseil d'Etat.

SAIV secteur d'activités d'importance vitale [article R.1332-2 du Code de la défense] : Un secteur d'activités d'importance vitale, mentionné au 1° du II de l'article R. 1332-1, est constitué d'activités concourant à un même objectif, qui : 1° Ont trait à la production et la distribution de biens ou de services indispensables : a) A la satisfaction des besoins essentiels pour la vie des populations ; b) Ou à l'exercice de l'autorité de l'Etat ; c) Ou au fonctionnement de l'économie ; d) Ou au maintien du potentiel de défense ; e) Ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables ; 2° Ou peuvent présenter un danger grave pour la population. Le Premier ministre fixe, par arrêté pris après avis de la commission mentionnée à l'article R. 1332-10, les secteurs d'activités d'importance vitale. Cet arrêté désigne pour chaque secteur d'activités d'importance vitale un ministre coordonnateur, qui veille à l'application des directives du gouvernement dans ce secteur, le cas échéant en liaison avec le ou les ministres dont le domaine de compétence recouvre les activités qui y sont exercées. Le ministre de la défense est le ministre coordonnateur des secteurs d'activités d'importance vitale constitués d'activités qui participent de façon directe à la satisfaction des besoins des forces armées et des formations rattachées.

sécurité [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

sécurité [données personnelles] [Règlement RGPD n°2016/679 du 27 avril 2016] : moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement [de données à caractère personnel].

sécurité d’un système d’information [ANSSI Référentiel "PASSI" du 6 octobre 2015 (Prestataires d’Audit de la Sécurité des Systèmes d’Information)] :

sécurité de l'information [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] :

sécurité de l'information [NORME internationale ISO 27000:2018] : protection de la confidentialité, de l'intégrité et de la disponibilité de l'information.

sécurité des réseaux et des systèmes d'information [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

sécurité des réseaux et services [Directive CCEE n°2018/1972 du 11 décembre 2018] : la capacité des réseaux et services de communications électroniques de résister, à un niveau de confiance donné, à toute action qui compromet la disponibilité, l’authenticité, l’intégrité ou la confidentialité de ces réseaux et services, de données stockées, transmises ou traitées ou des services connexes offerts par ces réseaux ou services de communications électroniques ou rendus accessibles via de tels réseaux ou services.

sécurité du traitement [de données personnelles] [titre de l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

sécurité numérique [des systèmes d'information et de communication de l'Etat] [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Le système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle. Il est placé sous la responsabilité du Premier ministre, qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système. Sont exclus du champ d'application du présent titre les systèmes d'information et de communication visés au deuxième alinéa de l'article 1er du décret du 28 juin 2018 susvisé ainsi que ceux opérés par les services mentionnés à l'article D. 3126-2 du code de la défense et à l'article 1er du décret du 30 avril 2014 susvisé. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE

service accessoire [PROJET de Règlement DMA du 15 décembre 2020 (Digital Market Act)] : les services fournis dans le cadre de services de plateforme essentiels, ou avec ceux-ci, y compris les services de paiement, les services techniques à l’appui de la fourniture de services de paiement et les services d’exécution des commandes, d’identification ou de publicité.

service d'achat ou de vente d'actifs numériques en monnaie ayant cours légal [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de conclure des contrats d'achat ou de vente pour le compte d'un tiers portant sur des actifs numériques en monnaie ayant cours légal, avec, le cas échéant, interposition du compte propre du prestataire de service.

service d'échange d'actifs numériques contre d'autres actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de conclure des contrats prévoyant l'échange pour le compte d'un tiers d'actifs numériques contre d'autres actifs numériques, avec, le cas échéant, interposition du compte propre du prestataire de service.

service d'envoi recommandé électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.

service d'envoi recommandé électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service d’envoi recommandé électronique qui satisfait aux exigences fixées à l’article 44 { du texte précité}.

service d'exploitation d'une plateforme de négociation d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de gérer une ou plusieurs plateformes de négociation d'actifs numériques, au sein desquelles de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des actifs numériques contre d'autres actifs numériques ou en monnaie ayant cours légal peuvent interagir d'une manière qui aboutisse à la conclusion de contrats.

service d'hébergement [PROJET de Règlement DSA du 15 décembre 2020 (Digital Service Act)] : le stockage des informations fournies par un bénéficiaire du service à la demande de ce dernier.

service d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : ensemble des prestations nécessaires à la génération et à la gestion de contremarques de temps. ---> voir "contremarques de temps"

service d'identification [PROJET de Règlement DMA du 15 décembre 2020 (Digital Market Act)] : un type de services accessoires permettant toute sorte de vérification de l’identité des utilisateurs finaux ou des entreprises utilisatrices, indépendamment de la technologie utilisée.

service d'informatique en nuage [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

service d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service, reconnu comme tel par l’État membre, qui fournit une assistance immédiate et rapide en cas, notamment, de risque direct pour la vie ou l’intégrité physique de personnes, pour la santé ou la sûreté publique ou individuelle, pour la propriété privée ou publique ou pour l’environnement, conformément au droit national.

service de coffre-fort numérique [Loi République Numérique n°2016-1321 du 7 octobre 2016] : un service de coffre-fort numérique est un service qui a pour objet : 1) La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine ; 2) La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l'utilisateur ; 3) L'identification de l'utilisateur lors de l'accès au service par un moyen d'identification électronique respectant l'article L. 136 ; 4) De garantir l'accès exclusif aux documents électroniques, données de l'utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l'utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l'utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; 5) De donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d'origine, dans des conditions définies par décret. Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE. Ce service de coffre-fort numérique peut bénéficier d'une certification établie selon un cahier des charges proposé par l'autorité nationale de la sécurité des systèmes d'information après avis de la Commission nationale de l'informatique et des libertés et approuvé par arrêté du ministre chargé du numérique. Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l'Etat sont définies par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés.

service de communications électroniques [Directive CCEE n°2018/1972 du 11 décembre 2018] : le service fourni normalement contre rémunération via des réseaux de communications électroniques qui, à l’exception des services consistant à fournir des contenus transmis à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus, comprend les types de services suivants : a) un «service d’accès à l’internet» défini à l’article 2, deuxième alinéa, point 2, du règlement (UE) 2015/2120 ; b) un service de communications interpersonnelles ; et c) des services consistant entièrement ou principalement en la transmission de signaux tels que les services de transmission utilisés pour la fourniture de services de machine à machine et pour la radiodiffusion.

service de communications interpersonnelles [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service normalement fourni contre rémunération qui permet l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, par lequel les personnes qui amorcent la communication ou y participent en déterminent le ou les destinataires et qui ne comprend pas les services qui rendent possible une communication interpersonnelle et interactive uniquement en tant que fonction mineure accessoire intrinsèquement liée à un autre service.

service de communications interpersonnelles fondé sur la numérotation [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications interpersonnelles qui établit une connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation ou qui permet la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation.

service de communications interpersonnelles non fondé sur la numérotation [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications interpersonnelles qui n’établit pas de connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation.

service de communications vocales [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications électroniques accessible au public permettant d’émettre et de recevoir, directement ou indirectement, des appels nationaux ou nationaux et internationaux, en composant un ou plusieurs numéros d’un plan national ou international de numérotation.

service de confiance [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service électronique normalement fourni contre rémunération qui consiste : a) en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services ; ou b) en la création, en la vérification et en la validation de certificats pour l’authentification de site internet ; ou c) en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services.

service de confiance qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service de confiance qui satisfait aux exigences du présent règlement.

service de conseil aux souscripteurs d'actifs numérique [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de fournir des recommandations personnalisées à un tiers, soit à sa demande, soit à l'initiative du prestataire qui fournit le conseil, concernant un ou plusieurs actifs numériques.

service de conservation d'actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de maîtriser, pour le compte d'un tiers, les moyens d'accès aux actifs numériques inscrits dans le dispositif d'enregistrement électronique partagé et de tenir un registre de positions, ouvert au nom du tiers, correspondants à ses droits sur lesdits actifs numériques.