SAIV ---> voir secteurs d'activités d'importance vitale [arrêté du 6 juin 2006] Activités civiles de l’Etat Activités militaires de l’Etat Alimentation Communications électroniques, audiovisuel et information Energie [modifié à la marge par l'arrêté du 3 juillet 2008] Espace et recherche Finances Gestion de l’eau Industrie Santé Transports

liste des secteurs d'activités d'importance vitale [arrêté du 2 juin 2006] Activités civiles de l’Etat Activités militaires de l’Etat Alimentation Communications électroniques, audiovisuel et information Energie [modifié à la marge par l'arrêté du 3 juillet 2008] Espace et recherche Finances Gestion de l’eau Industrie Santé Transports

savoir-faire ou information [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : [Considérant 14] Il importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite. Cette définition devrait dès lors être élaborée de façon à couvrir les savoir-faire, les informations commerciales et les informations technologiques lorsqu'il existe à la fois un intérêt légitime à les garder confidentiels et une attente légitime de protection de cette confidentialité. Par ailleurs, ces savoir-faire ou informations devraient avoir une valeur commerciale, effective ou potentielle. Ces savoir-faire ou informations devraient être considérés comme ayant une valeur commerciale, par exemple lorsque leur obtention, utilisation ou divulgation illicite est susceptible de porter atteinte aux intérêts de la personne qui en a le contrôle de façon licite en ce qu'elle nuit au potentiel scientifique et technique de cette personne, à ses intérêts économiques ou financiers, à ses positions stratégiques ou à sa capacité concurrentielle. La définition du secret d'affaires exclut les informations courantes et l'expérience et les compétences obtenues par des travailleurs dans l'exercice normal de leurs fonctions et elle exclut également les informations qui sont généralement connues de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou qui leur sont aisément accessibles.

Schéma cryptographique [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : algorithme cryptographique distribué faisant intervenir plusieurs entités (possédant généralement un secret partagé) qui atteint un objectif de sécurité.

schéma d'identification électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales.

schéma européen de certification de cybersécurité [ Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble complet de règles, d’exigences techniques, de normes et de procédures qui sont établies à l’échelon de [l’UE] et qui s’appliquent à la certification ou à l’évaluation de la conformité de produits TIC, services TIC ou processus TIC spécifiques.

schéma national de certification de cybersécurité [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un ensemble complet de règles, d’exigences techniques, de normes et de procédures élaborées et adoptées par une autorité publique nationale et qui s’appliquent à la certification ou à l’évaluation de la conformité des produits TIC, services TIC et processus TIC relevant de ce schéma spécifique.

Schémas symétriques d'authentification d'entité [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : Ces schémas permettent à une entité de prouver son identité à un correspondant en utilisant la connaissance d’un secret. Par nature, ces schémas sont interactifs. Ils consistent généralement à mettre en oeuvre un protocole de défi-réponse reposant sur l’utilisation d’aléa et d’une primitive symétrique ou d’un mécanisme de chiffrement ou d’intégrité. Nous ne donnons pas de liste pour ce type de schéma. Il est important de garder à l’esprit que même si ces schémas peuvent reposer sur le calcul d’un motif d’intégrité, leurs objectifs de sécurité sont différents de ceux des schémas d’authentification de données. Par conséquent, une même clé ne doit pas être utilisée pour un mode d’intégrité et pour un schéma symétrique d’authentification d’entité.

secret d'affaires 1 [Directive Secrets d'affaires n°2016/943 du 8 juin 2016] : [Considérant 14] Il importe d'établir une définition homogène du secret d'affaires sans imposer de restrictions quant à l'objet à protéger contre l'appropriation illicite. Cette définition devrait dès lors être élaborée de façon à couvrir les savoir-faire, les informations commerciales et les informations technologiques lorsqu'il existe à la fois un intérêt légitime à les garder confidentiels et une attente légitime de protection de cette confidentialité. Par ailleurs, ces savoir-faire ou informations devraient avoir une valeur commerciale, effective ou potentielle. Cescsavoir-faire ou informations devraient être considérés comme ayant une valeur commerciale, par exemple lorsque leur obtention, utilisation ou divulgation illicite est susceptible de porter atteinte aux intérêts de la personne qui en a le contrôle de façon licite en ce qu'elle nuit au potentiel scientifique et technique de cette personne, à ses intérêts économiques ou financiers, à ses positions stratégiques ou à sa capacité concurrentielle. La définition du secret d'affaires exclut les informations courantes et l'expérience et les compétences obtenues par des travailleurs dans l'exercice normal de leurs fonctions et elle exclut également les informations qui sont généralement connues de personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou qui leur sont aisément accessibles.

secret d'affaires [Directive Secrets d'affaires n°2016/943 du 8 juin 2016, Article 2] : des informations qui répondent à toutes les conditions suivantes : a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles, b) elles ont une valeur commerciale parce qu'elles sont secrètes, c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes.

secret de la défense nationale [article 413-9 du Code pénal] : Présentent un caractère de secret de la défense nationale au sens de la présente section les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers intéressant la défense nationale qui ont fait l'objet de mesures de classification destinées à restreindre leur diffusion ou leur accès. Peuvent faire l'objet de telles mesures les procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers dont la divulgation ou auxquels l'accès est de nature à nuire à la défense nationale ou pourrait conduire à la découverte d'un secret de la défense nationale. Les niveaux de classification des procédés, objets, documents, informations, réseaux informatiques, données informatisées ou fichiers présentant un caractère de secret de la défense nationale et les autorités chargées de définir les modalités selon lesquelles est organisée leur protection sont déterminés par décret en Conseil d'Etat.

SAIV secteur d'activités d'importance vitale [article R.1332-2 du Code de la défense] : Un secteur d'activités d'importance vitale, mentionné au 1° du II de l'article R. 1332-1, est constitué d'activités concourant à un même objectif, qui : 1° Ont trait à la production et la distribution de biens ou de services indispensables : a) A la satisfaction des besoins essentiels pour la vie des populations ; b) Ou à l'exercice de l'autorité de l'Etat ; c) Ou au fonctionnement de l'économie ; d) Ou au maintien du potentiel de défense ; e) Ou à la sécurité de la Nation, dès lors que ces activités sont difficilement substituables ou remplaçables ; 2° Ou peuvent présenter un danger grave pour la population. Le Premier ministre fixe, par arrêté pris après avis de la commission mentionnée à l'article R. 1332-10, les secteurs d'activités d'importance vitale. Cet arrêté désigne pour chaque secteur d'activités d'importance vitale un ministre coordonnateur, qui veille à l'application des directives du gouvernement dans ce secteur, le cas échéant en liaison avec le ou les ministres dont le domaine de compétence recouvre les activités qui y sont exercées. Le ministre de la défense est le ministre coordonnateur des secteurs d'activités d'importance vitale constitués d'activités qui participent de façon directe à la satisfaction des besoins des forces armées et des formations rattachées.

sécurité [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

sécurité [données personnelles] [Règlement RGPD n°2016/679 du 27 avril 2016] : moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement [de données à caractère personnel].

sécurité d’un système d’information [ANSSI Référentiel "PASSI" du 6 octobre 2015 (Prestataires d’Audit de la Sécurité des Systèmes d’Information)] : ensemble des moyens techniques et non-techniques de protection, permettant à un système d’information de résister à des événements susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données, traitées ou transmises et des services connexes que ces systèmes offrent ou rendent accessibles.

sécurité de l'information [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : préservation de la confidentialité, l’intégrité et la disponibilité de l’information. ---> à rapprocher de la définition de "sécurité des réseaux et des systèmes d'information" dans la Directive NIS de 2016 et le projet de Directive NIS2 de 2020.

sécurité de l'information [NORME internationale ISO 27000:2018] : protection de la confidentialité, de l'intégrité et de la disponibilité de l'information.

sécurité des réseaux et des systèmes d'information [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

sécurité des réseaux et services [Directive CCEE n°2018/1972 du 11 décembre 2018] : la capacité des réseaux et services de communications électroniques de résister, à un niveau de confiance donné, à toute action qui compromet la disponibilité, l’authenticité, l’intégrité ou la confidentialité de ces réseaux et services, de données stockées, transmises ou traitées ou des services connexes offerts par ces réseaux ou services de communications électroniques ou rendus accessibles via de tels réseaux ou services.

sécurité du traitement [de données personnelles] [titre de l'article 32 du Règlement RGPD n°2016/679 du 27 avril 2016] :

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

• la pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L'application d'un code de conduite approuvé comme le prévoit l'article 40 ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 peut servir d'élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d'y être obligée par le droit de l'Union ou le droit d'un État membre.

sécurité numérique [des systèmes d'information et de communication de l'Etat] [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Le système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle. Il est placé sous la responsabilité du Premier ministre, qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système. Sont exclus du champ d'application du présent titre les systèmes d'information et de communication visés au deuxième alinéa de l'article 1er du décret du 28 juin 2018 susvisé ainsi que ceux opérés par les services mentionnés à l'article D. 3126-2 du code de la défense et à l'article 1er du décret du 30 avril 2014 susvisé. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE

service d'achat ou de vente d'actifs numériques en monnaie ayant cours légal [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de conclure des contrats d'achat ou de vente pour le compte d'un tiers portant sur des actifs numériques en monnaie ayant cours légal, avec, le cas échéant, interposition du compte propre du prestataire de service.

service d'échange d'actifs numériques contre d'autres actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de conclure des contrats prévoyant l'échange pour le compte d'un tiers d'actifs numériques contre d'autres actifs numériques, avec, le cas échéant, interposition du compte propre du prestataire de service.

service d'envoi recommandé électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service qui permet de transmettre des données entre des tiers par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi et de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d’altération ou de toute modification non autorisée.

service d'envoi recommandé électronique qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service d’envoi recommandé électronique qui satisfait aux exigences fixées à l’article 44 { du texte précité}.

service d'exploitation d'une plateforme de négociation d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de gérer une ou plusieurs plateformes de négociation d'actifs numériques, au sein desquelles de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des actifs numériques contre d'autres actifs numériques ou en monnaie ayant cours légal peuvent interagir d'une manière qui aboutisse à la conclusion de contrats.

service d'horodatage [ANSSI Référentiel "RGS" du 13 juin 2014 (politique d’horodatage type)] : ensemble des prestations nécessaires à la génération et à la gestion de contremarques de temps. ---> voir "contremarques de temps"

service d'informatique en nuage [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

service d'urgence [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service, reconnu comme tel par l’État membre, qui fournit une assistance immédiate et rapide en cas, notamment, de risque direct pour la vie ou l’intégrité physique de personnes, pour la santé ou la sûreté publique ou individuelle, pour la propriété privée ou publique ou pour l’environnement, conformément au droit national.

service de coffre-fort numérique [Loi République Numérique n°2016-1321 du 7 octobre 2016] : un service de coffre-fort numérique est un service qui a pour objet : 1) La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine ; 2) La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l'utilisateur ; 3) L'identification de l'utilisateur lors de l'accès au service par un moyen d'identification électronique respectant l'article L. 136 ; 4) De garantir l'accès exclusif aux documents électroniques, données de l'utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l'utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l'utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; 5) De donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d'origine, dans des conditions définies par décret. Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE. Ce service de coffre-fort numérique peut bénéficier d'une certification établie selon un cahier des charges proposé par l'autorité nationale de la sécurité des systèmes d'information après avis de la Commission nationale de l'informatique et des libertés et approuvé par arrêté du ministre chargé du numérique. Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l'Etat sont définies par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés.

service de communications électroniques [Directive CCEE n°2018/1972 du 11 décembre 2018] : le service fourni normalement contre rémunération via des réseaux de communications électroniques qui, à l’exception des services consistant à fournir des contenus transmis à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus, comprend les types de services suivants : a) un «service d’accès à l’internet» défini à l’article 2, deuxième alinéa, point 2, du règlement (UE) 2015/2120 ; b) un service de communications interpersonnelles ; et c) des services consistant entièrement ou principalement en la transmission de signaux tels que les services de transmission utilisés pour la fourniture de services de machine à machine et pour la radiodiffusion.

service de communications interpersonnelles [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service normalement fourni contre rémunération qui permet l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, par lequel les personnes qui amorcent la communication ou y participent en déterminent le ou les destinataires et qui ne comprend pas les services qui rendent possible une communication interpersonnelle et interactive uniquement en tant que fonction mineure accessoire intrinsèquement liée à un autre service.

service de communications interpersonnelles fondé sur la numérotation [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications interpersonnelles qui établit une connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation ou qui permet la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation.

service de communications interpersonnelles non fondé sur la numérotation [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications interpersonnelles qui n’établit pas de connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation.

service de communications vocales [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service de communications électroniques accessible au public permettant d’émettre et de recevoir, directement ou indirectement, des appels nationaux ou nationaux et internationaux, en composant un ou plusieurs numéros d’un plan national ou international de numérotation.

service de confiance [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service électronique normalement fourni contre rémunération qui consiste : a) en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services ; ou b) en la création, en la vérification et en la validation de certificats pour l’authentification de site internet ; ou c) en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services.

service de confiance qualifié [Règlement eIDAS n°910/2014 du 23 juillet 2014] : un service de confiance qui satisfait aux exigences du présent règlement.

service de conseil aux souscripteurs d'actifs numérique [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de fournir des recommandations personnalisées à un tiers, soit à sa demande, soit à l'initiative du prestataire qui fournit le conseil, concernant un ou plusieurs actifs numériques.

service de conservation d'actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de maîtriser, pour le compte d'un tiers, les moyens d'accès aux actifs numériques inscrits dans le dispositif d'enregistrement électronique partagé et de tenir un registre de positions, ouvert au nom du tiers, correspondants à ses droits sur lesdits actifs numériques.

service de conversation totale [Directive CCEE n°2018/1972 du 11 décembre 2018] : un service multimédia de conversation en temps réel assurant la transmission symétrique et bidirectionnelle en temps réel de vidéos animées, de texte en temps réel et de voix entre des utilisateurs situés dans deux lieux différents ou plus.

service de gestion de portefeuille d'actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de gérer, de façon discrétionnaire et individualisée, des portefeuilles incluant un ou plusieurs actifs numériques dans le cadre d'un mandat donné par un tiers.

service de placement garanti d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de rechercher des acquéreurs pour le compte d'un émetteur d'actifs numériques et de lui garantir un montant minimal d'achats en s'engageant à acquérir les actifs numériques non placés.

service de placement non garanti d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de rechercher des acquéreurs pour le compte d'un émetteur d'actifs numériques sans lui garantir un montant d'acquisition.

service de prise ferme d'actifs numériques [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait d'acquérir directement des actifs numériques auprès d'un émetteur d'actifs numériques, en vue de procéder à leur vente.

service de réception et transmission d'ordres sur actifs numériques pour le compte de tiers [Décret PSAN n°2019-1213 du 21 novembre 2019] : le fait de recevoir et de transmettre des ordres portant sur des actifs numériques pour le compte d'un tiers .

service numérique [Directive n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services.

service numérique [Directive UE n°2019/770 du 20 mai 2019] : a) un service permettant au consommateur de créer, de traiter ou de stocker des données sous forme numérique, ou d'y accéder ; ou b) un service permettant le partage ou toute autre interaction avec des données sous forme numérique qui sont téléversées ou créées par le consommateur ou d’autres utilisateurs de ce service.

service TIC [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information.

services associés [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : les services associés à un réseau de communications électroniques et/ou à un service de communications électroniques, qui permettent et/ou soutiennent la fourniture de services via ce réseau et/ou ce service ou en ont le potentiel, et comprennent notamment la conversion du numéro d’appel ou des systèmes offrant des fonctionnalités équivalentes, les systèmes d’accès conditionnel et les guides électroniques de programmes, ainsi que d’autres services tels que ceux relatifs à l’identité, l’emplacement et l’occupation.

services d'intermédiation en ligne [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : a) ils constituent des services de la société de l’information au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (12) ; b) ils permettent aux entreprises utilisatrices d’offrir des biens ou services aux consommateurs, en vue de faciliter l’engagement de transactions directes entre ces entreprises utilisatrices et des consommateurs, que ces transactions soient ou non finalement conclues ; c) ils sont fournis aux entreprises utilisatrices sur la base de relations contractuelles entre le fournisseur de ces services et les entreprises utilisatrices qui offrent des biens ou services aux consommateurs.

services fournis par voie électronique [Règlement géo-blocage n°2018/302 du 28 février 2018] : les services fournis sur l'internet ou sur un réseau électronique et dont la nature rend la prestation largement automatisée, accompagnée d'une intervention humaine minimale, et impossible à assurer en l'absence de technologie de l'information.

services sur actifs numériques [article L. 54-10-2 du Code Monétaire et Financier] : Les services sur actifs numériques comprennent les services suivants : 1° Le service de conservation pour le compte de tiers d'actifs numériques ou d'accès à des actifs numériques, le cas échéant sous la forme de clés cryptographiques privées, en vue de détenir, stocker et transférer des actifs numériques ; 2° Le service d'achat ou de vente d'actifs numériques en monnaie ayant cours légal ; 3° Le service d'échange d'actifs numériques contre d'autres actifs numériques ; 4° L'exploitation d'une plateforme de négociation d'actifs numériques ; 5° Les services suivants : a) La réception et la transmission d'ordres sur actifs numériques pour le compte de tiers ; b) La gestion de portefeuille d'actifs numériques pour le compte de tiers ; c) Le conseil aux souscripteurs d'actifs numériques ; d) La prise ferme d'actifs numériques ; e) Le placement garanti d'actifs numériques ; f) Le placement non garanti d'actifs numériques. Un décret précise la définition des services mentionnés au présent article. { voir le décret n°2019-1213 du 21 novembre 2019 relatif aux prestataires de services sur actifs numériques}

signataire [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une personne physique qui crée une signature électronique.

Signature [Guide de sélection d'algorithmes cryptographiques - ANSSI - 8 mars 2021] : L’opération privée de signature produit à partir d’un message M et de la clé privée P r une signature σ (sigma) de ce message. L’opération publique de vérification permet de déterminer si σ est bien une signature valide de M produite en utilisant la clé privée correspondante à une clé publique P u. Il n’est pas possible de produire une signature valide pour une clé publique P u sans connaître la clé privée correspondante P r. La signature électronique permet donc au détenteur d’une clé privée de générer des signatures vérifiables par toute personne ayant accès à sa clé publique. Comme dans le cas de l’authentification de message symétrique, ce mécanisme ne protège pas contre le rejeu de messages signés. Une signature peut être conservée avec le message signé pour prouver ultérieurement à un tiers son authenticité. De plus la signature est opposable au signataire, dans la mesure où il est le seul détenteur de la clé privée permettant de la produire : on parle de non-répudiation. Cette propriété n’est pas possible avec un mécanisme symétrique d’authentification de message, car il n’est pas possible dans ce cas de séparer la capacité de vérification du motif d’authentification de la capacité de produire de tels motifs.

signature / signature électronique [article 1367 du Code civil] : la signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat.

signature électronique [Règlement eIDAS n°910/2014 du 23 juillet 2014] : des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer.

signature électronique avancée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une signature électronique qui satisfait aux exigences énoncées à l’article 26 [du Règlement UE 910/2014 eIDAS du 23 juillet 2014].

signature électronique qualifiée [Règlement eIDAS n°910/2014 du 23 juillet 2014] : une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique.

S.I.I.V. ---> voir Système d'Information d'Importance Vitale [article L.1332-6-1 du Code de la défense] : Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Ces opérateurs sont tenus d’appliquer ces règles à leurs frais. Les règles mentionnées au premier alinéa peuvent notamment prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d’information, par l’autorité nationale de sécurité des systèmes d’information ou par d’autres services de l’Etat désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre.

sonde ou système de détection [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde a pour but de générer des évènements de sécurité et est considérée comme une source de collecte dans le cadre du service de détection des incidents de sécurité.

sonde [ANSSI référentiel PRIS v2 du 2 aout 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde est considérée comme une source de collecte dans le cadre d’un service de détection des incidents de sécurité.

sous-boucle locale [Directive Paquet Télécom II n°2009/140/CE du 25 novembre 2009] : une boucle locale partielle qui relie le point de terminaison du réseau dans les locaux de l’abonné à un point de concentration ou à un point d’accès intermédiaire spécifié du réseau de communications électroniques public fixe.

sous-traitant [Règlement RGPD n°2016/679 du 27 avril 2016] : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

spécification technique [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : un document qui établit les exigences techniques auxquelles un produit TIC, service TIC ou processus TIC doit répondre ou des procédures d’évaluation de la conformité afférentes à un produit TIC, service TIC ou processus TIC.

standard ouvert [Loi LCEN n°2004-575 du 21 juin 2004] : tout protocole de communication, d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en oeuvre.

stratégie nationale en matière de sécurité des réseaux et des systèmes d'information [Règlement UE "Cyber Security Act" n°2019/881 du 17 avril 2019] : une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information au sens de l’article 4, point 3), de la directive (UE) 2016/1148.

stratégie nationale en matière de sécurité des réseaux et des systèmes d'information [Directive n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : un cadre prévoyant des objectifs et priorités stratégiques en matière de sécurité des réseaux et des systèmes d'information au niveau national.

suivi opérationnel [ANSSI référentiel RGS v2 du 13 juin 2014 (Référentiel Général de Sécurité)] : le suivi opérationnel consiste à collecter et à analyser les journaux d’évènements et les alarmes, à mener des audits réguliers, à appliquer des mesures correctives après un audit ou un incident, à mettre en œuvre une chaîne d’alerte en cas d’intrusion supposée ou avérée sur le système, à gérer les droits d’accès des utilisateurs, à assurer une veille sur les menaces et les vulnérabilités, à entretenir des plans de continuité et de reprise d’activité, à sensibiliser le personnel et à gérer les crises lorsqu’elles surviennent.

support durable [Directive UE n°2019/770 du 20 mai 2019] : tout instrument permettant au consommateur ou au professionnel de stocker des informations qui lui sont adressées personnellement d’une manière permettant de s’y reporter ultérieurement, pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées.

support durable [Règlement P2B n°2019/1150 du 20 juin 2019 (Platform to Business)] : tout instrument permettant aux entreprises utilisatrices de stocker des informations qui leur sont personnellement adressées d’une manière permettant de s’y reporter ultérieurement pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées.

système d'accès conditionnel [Directive CCEE n°2018/1972 du 11 décembre 2018] : toute mesure technique, système d’authentification et/ou arrangement subordonnant l’accès sous une forme intelligible à un service protégé de radio ou de télévision à un abonnement ou à une autre forme d’autorisation individuelle préalable.

système d'information [Directive UE n°2016/1148 NIS du 6 juillet 2016 (Network Information Security)] : b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;

système d'information [NORME internationale ISO 27000:2018] : ensemble d'applications, services, actifs informationnels ou autres composants permettant de gérer l'information. ---> voir la définition de "système d'information" dans la Directive UE "NIS" n°2016/1148 du 6 juillet 2016 dont la rédaction prévaut sur celle de la norme ISO

système d'information [Règlement Mesures restrictives n°2019/796 du 17 mai 2019] : un dispositif isolé ou un ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ce dispositif ou cet ensemble de dispositifs en vue du fonctionnement, de l'utilisation, de la protection et de la maintenance de celui-ci.

système d'information [ANSSI Référentiel "PRIS" du 2 août 2017 (Prestataire de Réponse aux Incidents de Sécurité)] : ensemble organisé de ressources (matériel, logiciels, personnel, données et procédures) permettant de traiter et de diffuser de l’information.

système d'information administré [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : système d’information incluant les ressources administrées. [NDLR : cette définition est-elle bien utile ?]

Système d'Information d'Importance Vitale [article L.1332-6-1 du Code de la défense] : Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population. Ces opérateurs sont tenus d'appliquer ces règles à leurs frais. Les règles mentionnées au premier alinéa peuvent notamment prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d'information, par l'autorité nationale de sécurité des systèmes d'information ou par d'autres services de l'Etat désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre.

système d'information d’administration [ANSSI Référentiel "PAMS" du 10 avril 2020 (Prestataires d’administration et de maintenance sécurisées)] : système d’information utilisé pour administrer des ressources qui sont présentes dans un autre système d’information dit système d’information administré.

système d'information et de communication de l'Etat [Décret n°2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique] : Le système d'information et de communication de l'Etat est composé de l'ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique les données qui concourent aux missions des services de l'Etat et des organismes placés sous sa tutelle. Il est placé sous la responsabilité du Premier ministre, qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système. Sont exclus du champ d'application du présent titre les systèmes d'information et de communication visés au deuxième alinéa de l'article 1er du décret du 28 juin 2018 susvisé ainsi que ceux opérés par les services mentionnés à l'article D. 3126-2 du code de la défense et à l'article 1er du décret du 30 avril 2014 susvisé. ---> NOTE : le Décret n°2019-1088 du 25 octobre 2019 a été modifiée par le Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics et entre en vigueur le 1er octobre 2022 <---NOTE

système d'information et de communication de la défense [Décret n°2018-532 du 28 juin 2018 fixant l'organisation du système d'information et de communication de la défense et portant création de la direction générale du numérique et des systèmes d'information et de communication] : Le système d'information et de communication de la défense est constitué de l'ensemble organisé des ressources permettant de collecter, traiter, transmettre et stocker les données sous format numérique qui concourent aux missions du ministère, à l'exception des ressources mises en œuvre par la direction générale de la sécurité extérieure. Il fait partie du système d'information et de communication de l'Etat, à l'exception des systèmes d'information et de communication mentionnés aux 1° et 2° de l'article 2 et des systèmes qui font intervenir, nécessitent ou comportent des supports ou information classifiés. Le système d'information et de communication de la défense est composé d'un ensemble de systèmes, classés selon leur objet et répartis comme suit : 1° Les systèmes d'information opérationnels et de communication ; 2° Les systèmes d'information scientifiques et techniques ; 3° Les systèmes d'information, d'administration et de gestion.

système de détection ou sonde [ANSSI référentiel PDIS v2 du 21 décembre 2017 (Prestataire de Détection d'Incident de Sécurité)] : dispositif technique destiné à repérer des activités anormales, suspectes ou malveillantes sur le périmètre supervisé. Une sonde a pour but de générer des évènements de sécurité et est considérée comme une source de collecte dans le cadre du service de détection des incidents de sécurité.

système de traitement automatisé de données [article 323-1 du Code pénal] : pas de définition légale. Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende. Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 150 000 € d'amende.

systèmes de communication et d'appels automatisés [PROJET de Règlement e-Privacy v1 du 10 janvier 2017] : les systèmes capables de passer des appels de manière automatique à un ou plusieurs destinataires conformément aux instructions établies pour ce système et de transmettre des sons ne consistant pas en une conversation de vive voix, notamment des appels effectués à l’aide de systèmes de communication et d'appel automatisés qui relient la personne appelée à une personne physique.

sécurité des réseaux et des systèmes d’information [Directive NISv2 - 2022/2555 - 14 décembre 2022] : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles.

stratégie nationale en matière de cybersécurité [Directive NISv2 - 2022/2555- 14 décembre 2022] : le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre.

système de noms de domaine ou DNS [[Directive NISv2 n°2022/2555 du 14 décembre 2022] : un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources.

service d'informatique en nuage [Directive NISv2 n°2022/2555 du 14 décembre 2022E] : un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits.

service de centre de donnée [Directive NISv2 n°2022/2555 du 14 décembre 2022] : un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental.

système de TIC hérité [Règlement DORA n°2022/2554 du 14 décembre 2022] : un système de TIC qui a atteint la fin de son cycle de vie (fin de vie), qui ne se prête pas à des mises à jour ou des corrections, pour des raisons technologiques ou commerciales, ou qui n’est plus pris en charge par son fournisseur ou par un prestataire tiers de services TIC, mais qui est toujours utilisé et soutient les fonctions de l’entité financière.

services TIC [Règlement DORA n°2022/2554 du 14 décembre 2022] : les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels.

services informatiques [Directive DORA n°2022/2554 du 14 décembre 2022] : les services numériques et de données fournis par l’intermédiaire des systèmes informatiques à un ou plusieurs utilisateurs internes ou externes, dont la fourniture de données, la saisie de données, le stockage de données, le traitement des données et les services de notification, le suivi des données ainsi que les services de soutien opérationnel et décisionnel fondés sur les données.

sous-traitant informatique établi dans un pays tiers [Directive DORA n°2022/2554 du 14 décembre 2022] : un sous-traitant informatique qui est une personne morale établie dans un pays tiers, qui n’a pas établi d’activité ou de présence dans l’Union et qui a conclu un accord contractuel soit avec un tiers prestataire de services informatiques, soit avec un tiers prestataire de services informatiques établi dans un pays tiers.

service essentiel [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement.

spécification technique [Directive Entités critiques n°2022/2557 du 14 décembre 2022] : une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012.

sécurité d'un système d’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des moyens techniques et non-techniques de protection permettant à un système d’information d’assurer la disponibilité, l’intégrité et la confidentialité des données, traitées ou transmises, et des services connexes que ces systèmes offrent ou rendent accessibles.

supervision [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : surveillance du bon fonctionnement d’un système d’information ou d’un service. Elle concerne la collecte de données (mesures, alarmes, etc.) mais elle ne permet pas d’agir sur l’élément surveillé (ce qui relève des tâches d’administration).

support (technique) [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble des actions de diagnostic ayant pour finalité la résolution des problèmes rencontrés par les commanditaires. Par défaut, aucun accès aux données des commanditaires n’est autorisé dans le cadre de ces tâches. Si la résolution du problème nécessite une action de la part du prestataire, cette dernière relève dès lors de l’administration et doit être effectuée dans les conditions idoines.

système d’information [Référentiel SecNumCloud - 8 mars 2022 - V.3.2] : ensemble organisé de ressources (matériels, logiciels, personnels, données et procédures) permettant de traiter et de diffuser de l’information.

service intermédiaire [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un des services de la société de l’information suivants : i) un service de “simple transport”, consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service ou à fournir l’accès à un réseau de communication; ii) un service de “mise en cache”, consistant à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, impliquant le stockage automatique, intermédiaire et temporaire de ces informations, effectué dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires à leur demande; iii) un service d’”hébergement”, consistant à stocker des informations fournies par un destinataire du service à sa demande;

système de recommandation [Règlement UE 2022/2065 « DSA » du 19 octobre 2022] : un système entièrement ou partiellement automatisé utilisé par une plateforme en ligne pour suggérer sur son interface en ligne des informations spécifiques aux destinataires du service ou pour hiérarchiser ces informations, notamment à la suite d’une recherche lancée par le destinataire du service ou en déterminant de toute autre manière l’ordre relatif ou d’importance des informations affichées;

sauvegarde [Jurisprudence OVH - Tribunal de commerce de Lille Métropole, jugement du 26 janvier 2023] : la sauvegarde a pour objet de mettre en sécurité les données pour pouvoir les restaurer dans le cas où un incident (panne, cyberattaque, inondation, incendie, sinistre quelconque …) touche le serveur principal. La sauvegarde n’a donc d’intérêt précisément qu’en cas de sinistre et a fortiori en cas d’incendie.

système d’information électronique [Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020, « Cyber Resilience Act », texte adopté, 12 mars 2024, article 3] : un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques ;

système d’IA [Règlement "IA" du 13 juin 2024 2024/1689] : un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ;

système de surveillance après commercialisation [Règlement "IA" du 13 juin 2024 2024/1689] : l’ensemble des activités réalisées par les fournisseurs de systèmes d’IA pour recueillir et analyser les données issues de l’expérience d’utilisation des systèmes d’IA qu’ils mettent sur le marché ou mettent en service de manière à repérer toute nécessité d’appliquer immédiatement une mesure préventive ou corrective;

système de reconnaissance des émotions [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’IA permettant la reconnaissance ou la déduction des émotions ou des intentions de personnes physiques sur la base de leurs données biométriques ;

système d’identification biométrique à distance [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’IA destiné à identifier des personnes physiques sans leur participation active, généralement à distance, en comparant les données biométriques d’une personne avec celles qui figurent dans une base de données ;

système de catégorisation biométrique [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’IA destiné à affecter des personnes physiques à des catégories spécifiques sur la base de leurs données biométriques, à moins que cela ne soit accessoire à un autre service commercial et strictement nécessaire pour des raisons techniques objectives ;

système d’IA à usage général [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’IA qui est fondé sur un modèle d’IA à usage général et qui a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA ;

système d’identification biométrique à distance en temps réel [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’identification biométrique à distance dans lequel l’acquisition des données biométriques, la comparaison et l’identification se déroulent sans décalage temporel important et qui comprend non seulement l’identification instantanée, mais aussi avec un léger décalage afin d’éviter tout contournement des règles ;

système d’identification biométrique à distance a posteriori [Règlement "IA" du 13 juin 2024 2024/1689] : un système d’identification biométrique à distance autre qu’un système d’identification biométrique à distance en temps réel ;

service d’intermédiation de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : un service qui vise à établir des relations commerciales à des fins de partage de données entre un nombre indéterminé de personnes concernées et de détenteurs de données, d’une part, et d’utilisateurs de données, d’autre part, par des moyens techniques, juridiques ou autres, y compris aux fins de l’exercice des droits des personnes concernées en ce qui concerne les données à caractère personnel, à l’exclusion au minimum de ce qui suit: a) des services qui obtiennent des données auprès des détenteurs de données et les agrègent, les enrichissent ou les transforment afin d’en accroître substantiellement la valeur et concèdent une licence d’utilisation des données résultantes aux utilisateurs de données, sans établir de relation commerciale directe entre les détenteurs de données et les utilisateurs de données; b) des services axés sur l’intermédiation de contenus protégés par le droit d’auteur; c) des services qui sont utilisés exclusivement par un seul détenteur de données pour lui permettre d’utiliser les données qu’il détient, ou qui sont utilisés par des personnes morales multiples au sein d’un groupe fermé, y compris dans le cadre de relations de fournisseur ou de client ou de collaborations établies par contrat, en particulier ceux qui ont pour principal objectif de garantir les fonctionnalités d’objets et de dispositifs connectés à l’internet des objets; d) des services pour le partage de données proposés par des organismes du secteur public qui ne cherchent pas à établir des relations commerciales ;

services de coopératives de données [Règlement UE 2022/868 «DGA » du 30 mai 2022] : les services d’intermédiation de données proposés par une structure organisationnelle constituée de personnes concernées, d’entreprises unipersonnelles ou de PME qui sont membres de cette structure dont les objectifs principaux consistent à aider ses membres à exercer leurs droits à l’égard de certaines données, y compris quant au fait d’opérer des choix en connaissance de cause avant qu’ils ne consentent au traitement de données, à mener des échanges de vues sur les finalités et les conditions du traitement de données qui représenteraient le mieux les intérêts de ses membres en ce qui concerne leurs données, et à négocier les conditions et modalités du traitement des données au nom de ses membres avant que ceux-ci ne donnent l’autorisation de traiter des données à caractère non personnel ou ne donnent leur consentement au traitement de données à caractère personnel ;

sabotage [CyberDico ANSSI, 15 juillet 2024] : une opération de sabotage consiste, pour un individu ou un groupe d’individus, à conduire une attaque génératrice de dommages sur le système d’information de l’entité ciblée pouvant aller jusqu’à le rendre inopérant. Les conséquences d’une telle opération peuvent être désastreuses, en particulier si cette opération touche un secteur d’importance vitale comme la santé, le transport ou encore l’énergie.

supply chain attack [CyberDico ANSSI, 15 juillet 2024] : Ce type d’attaque consiste à compromettre un tiers, comme un fournisseur de services logiciels ou un prestataire, afin de cibler la victime finale. Cette technique est éprouvée et exploitée par plusieurs acteurs étatiques et cybercriminels depuis au moins 2016. Cette méthode présente un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier ou une zone géographique précise notamment lorsque l’attaque cible un fournisseur de logiciels largement répandus, une entreprise de service numérique (ESN) locale ou spécialisée dans un secteur d’activité particulier.

système d'information [CyberDico ANSSI, 15 juillet 2024] : ensemble organisé de ressources (matériels, logiciels, personnels, données et procédures) permettant de traiter et de diffuser de l’information.

Système d’information d’administration [CyberDico ANSSI, 15 juillet 2024] : C’est l’ensemble des ressources matérielles et logicielles nécessaires pour réaliser les tâches d’administration. Il inclut le système d’exploitation du poste de travail utilisé pour les tâches d’administration qui peut être soit l’unique système d’exploitation d’un poste de travail physiquement dédié, soit l’environnement d’exécution dans le cas d’un poste de travail mettant en œuvre une virtualisation légère, soit le système d’exploitation de la machine virtuelle d’un poste de travail virtualisé.

Système d’information d’importance vitale (SIIV) [CyberDico ANSSI, 15 juillet 2024] : Ce sont les « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ».

spam [CyberDico ANSSI, 15 juillet 2024] : Tout courrier électronique non sollicité par le destinataire. Le courrier est souvent envoyé simultanément à un très grand nombre d’adresses électroniques. Les produits les plus vantés sont les services pornographiques, la spéculation boursière, des médicaments, le crédit financier etc.

shadow IT [CyberDico ANSSI, 15 juillet 2024] : Désigne des SI réalisés et mis en œuvre au sein d'organisations sans l'approbation de la DSI.

signalement [CyberDico ANSSI, 15 juillet 2024] : Dans la taxonomie de l’ANSSI, un signalement est un événement de sécurité d’origine cyber avec un impact pour le SI de la victime bas (ex : hammeçonage), requérant une intervention minimum de l’Agence.

système de détection d'intrusion [CyberDico ANSSI, 15 juillet 2024] : Un système de détection d'intrusion (Intrusion Detection System - IDS) est un dispositif logiciel ou matériel dont le rôle est de capter, puis d'analyser, l'activité d'un système numérique, dans le but de détecter les attaques ou les signes de compromission dont ce dernier est la cible. Un IDS se caractérise par la source de donnée utilisée pour capter l'activité d'un système (réseau, système, applicative) et par la méthode de détection employée pour distinguer les activités malveillantes des activités légitimes.

scanning [CyberDico ANSSI, 15 juillet 2024] : Technique servant à rechercher des appareils connectés spécifiques ainsi que des informations relatives à ceux-ci. Cette technique peut également servir à identifier la présence de vulnérabilités connues sur des systèmes exposés.

sécurité des systèmes d'information (SSI) [CyberDico ANSSI, 15 juillet 2024] : Ensemble des moyens techniques et non-techniques de protection permettant à un système d’information d’assurer la disponibilité, l’intégrité et la confidentialité des données, traitées ou transmises, et des services connexes que ces systèmes offrent ou rendent accessibles.

secteur d'activité d'importance vitale [CyberDico ANSSI, 15 juillet 2024] : À la suite des attentats du 11 septembre 2001, la France a engagé une réflexion sur la notion d’infrastructure critique afin de moderniser la protection des points et des réseaux sensibles. Le décret du 23 février 2006 définit les activités d’importance vitale comme « un ensemble d’activités, essentielles et difficilement substituables ou remplaçables, concourant à un même objectif ou visant à produire et à distribuer des biens ou des services indispensables ». Douze secteurs d’activité d’importance vitale ont été définis dans un arrêté du 2 juin 2006, modifié par un arrêté du 3 juillet 2008, au sein desquels ont identifiés des Opérateurs d’importance vitale (OIV) chargés de la protection de leur Point d’importance vitale (PIV). Chaque secteur est rattaché à un ministère coordonnateur chargé du pilotage des travaux et des consultations.

Serveur racine ou serveur de noms de la racine [CyberDico ANSSI, 15 juillet 2024] : La racine, en informatique, est le point de départ d’une arborescence. Il existe actuellement 13 serveurs de noms de la racine répartis dans le monde : ces serveurs hébergent les permettant le bon fonctionnement du Système d’adressage par domaines (DNS) et des services qui utilisent ce système : internet, courrier électronique…

signalement d’incident (ou signalement d’événement de sécurité numérique) [CyberDico ANSSI, 15 juillet 2024] : On qualifie de signalement d’incident toute description détaillée des caractéristiques techniques d’un ou plusieurs événements de sécurité susceptibles de conduire à la découverte d’un incident de sécurité survenu sur le système d’information d’une organisation donnée.

signalement d’événement de sécurité numérique (ou signalement d'incident) [CyberDico ANSSI, 15 juillet 2024] : On qualifie de signalement d’incident toute description détaillée des caractéristiques techniques d’un ou plusieurs événements de sécurité susceptibles de conduire à la découverte d’un incident de sécurité survenu sur le système d’information d’une organisation donnée.

System on chip (SoC) [CyberDico ANSSI, 15 juillet 2024] : Système complet embarqué sur une seule puce, pouvant comprendre, de la mémoire, un ou plusieurs microprocesseurs, des périphériques d'interface, etc…

service d'informatique en nuage [Loi "SREN" n°2024-449 du 21 mai 2014] : un service numérique fourni à un client qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d'efforts de gestion ou d'interaction avec le fournisseur de services ;

Système d'information électronique [Règlement « CRA » 2024/2847 du 23 octobre 2024] : un système, y compris des équipements électriques ou électroniques, capable de traiter, de stocker ou de transmettre des données numériques ;