Glossaire complet de la cybersécurité. Le vocabulaire technique expliqué de manière claire et précise. Consultez maintenant notre lexique !
A – B
Acculturation cyber
L’acculturation cyber commence à s’imposer dans de nombreux écosystèmes professionnels. Un livre blanc, publié par le Forum des compétences et Erium démontre les enjeux et limites des concepts de sensibilisation. Ce livrable propose une approche concrète pour passer à une approche de développement d’une culture cyber (l’acculturation cyber). Une stratégie de culture cyber demande de nouveaux outils (gamification, tests, quizz) et un ciblage précis des persona à adresser.
Active directory
Active directory est un service d’annuaire développé par Microsoft. Il permet de gérer les réseaux de domaines Windows et de stocker des informations sur les objets du réseau.
APT (Advance Persistent Threat)
Cyberattaque ciblée et prolongée où une personne non autorisée accède au réseau et passe inaperçue pendant une période importante. L’objectif d’une attaque APT est généralement de surveiller l’activité du réseau et de voler des données.
BAS (Breach and Attack Simulation)
Plate-forme conçue pour exécuter des actions qui imitent de près les actions des attaquants. L’objectif du BAS est de déterminer si elles sont détectées par les dispositifs de défense cyber (technologies et process humains). Des exemples de simulations possibles sont :
- Scanner les équipements pour identifier les ports ouverts.
- Tenter de trouver des identifiants et mot de passe valides (bruteforce).
- Déposer des fichiers qui ne se distinguent pas des logiciels malveillants (mais qui ne sont pas réellement dangereux).
- Tenter d’envoyer du trafic à travers un pare-feu, proxy ou DLP.
Le BAS se distingue par la variété des simulations possibles (types d’attaques simulées, niveau de furtivité, etc.) et la façon dont celles-ci sont exécutées (depuis un agent logiciel installé sur différents composants du SI ou de façon autonome sans modifier l’empreinte du SI).
C – D
Crise cyber
Exercice de crise cyber
Ces exercices préparent et entrainent l’ensemble des acteurs à une crise cyber. Les exercices de crises cyber les plus efficaces incluent une interaction avec les systèmes informatiques.
Un exercice de crise cyber peut être tourné vers : les dirigeants, les responsables de processus et les métiers, les responsables de gestion de crises, les acteurs de l’IT et les responsables ou intervenants de la SecOps.
Il existe 3 types d’exercices de crise cyber :
- Les exercices globaux de type « Cyber Crash ». Ils simulent une situation de chaos cyber et mobilisent l’ensemble des acteurs de l’entreprise. Ils sont menés en moyenne une fois par an par les entreprises matures.
- Les exercices de type « table top ». Ils simulent une situation spécifique, technique ou métier pour un nombre limité d’acteurs. Ils améliorent des aspects concrets de la capacité à répondre à une crise cyber et sont menés à un rythme mensuel ou trimestriel.
- Les exercices de type « micro training ». Ils s’appuient sur un stimuli de crise très ciblé pour un nombre limité de personnes.
Gestion de crise cyber
Ensemble des processus, des moyens opérationnels et humains pour répondre à un incident Cyber ayant des conséquences directes sur les activités ou les intérêts d’une entreprise. Les crises cyber les plus médiatisées sont celles de ransomwares ou de fuites de données en masse. Il existe de nombreux autres type de crises cyber moins médiatisées tels que les opérations de chantage ciblées, d’espionnage industriel, de prise de contrôle de systèmes critiques.
Une gestion de crise cyber efficace nécessite :
- Une cellule de crise entrainée (la « war-room« )
- Des moyens de communication protégés des attaquants et des données fiables,
- Des experts capables d’analyser l’attaque (forensic) et d’autres pour prendre immédiatement les décisions nécessaires (coupures de système, observation des attaquants, …)
- Des acteurs métiers entrainés au PCA (Plan de Continuité d’Activité) pour maintenir les opérations critiques
Cyberattaque
Ensemble coordonné d’actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité. Une cyberattaque peut être ponctuelle ou s’inscrire dans la durée.
Cyberdéfense
La cyberdéfense désigne l’ensemble des moyens mis en place par un État pour défendre dans le cyberespace les systèmes d’information jugés d’importance vitale. La cyberdéfense met notamment en œuvre la lutte informatique défensive et la lutte informatique offensive.
Cyberespace
Espace constitué par les infrastructures interconnectées. Le cyberespace relève des technologies de l’information, notamment l’internet, des données qui y sont traitées. On trouve aussi le terme « cybermonde », parfois utilisé dans ce sens.
Cyber range
Environnement virtuel qui permet de simuler des SI. Il y a différents composants : infrastructure réseau (routeur, switch, firewall, proxy), équipements de sécurité (IPS/IDS, sondes), serveurs, postes de travail, etc.
Les cyber range sont particulièrement utilisés en entraînements aux combats cyber. Mais en tant que solution de simulation, ils ne reflètent pas exactement la production.
Cybersécurité
Etat d’un système d’information qui résiste aux cyberattaques et aux pannes accidentelles survenant dans le cyberespace. La cybersécurité est assurée par la cyber protection ainsi que, dans le cas d’un État, par la cyberdéfense.
DKIM (Domain Keys Identified Mail)
Ajoute une signature numérique à chaque message sortant. Ainsi, il permet aux serveurs de réception de vérifier que le message provient bien de votre organisation.
DLP / DLD
Data Loss Prevention : technologie antifuite de données
Data Leak Detection : technologie ou service de détection de fuite de données sur Internet
DMARC
Domain-based Message Authentification, Reporting and Conformance : permet d’indiquer aux serveurs de réception l’action à effectuer lorsque des messages sortants de votre organisation ne passent pas les contrôles SPF ou DKIM.
DPO (Data Protection Officer)
Dans le cadre du RGPD (Règlement Européen sur la Protection des Données), le DPO accompagne les entreprises et organisation pour mettre en place l’organisation, les processus et les traitements de protection des données personnelles. Son rôle est clé aussi bien pour les actions de prévention, de formation, de pilotage de la conformité que pour s’assurer de l’existence moyens de réponse efficace en cas de d’incident (vol de données, fuite de données, incident de conformité…). Le DPO travaille en collaboration étroite avec le CISO ou RSSI. A noter l’existence désormais d’un événement annuel réunissant les DPO en France.
Dwell Time
Représente la durée pendant laquelle un cyberattaquant a le champ libre dans un environnement, depuis le moment où il y entre jusqu’à celui où il est éradiqué. Le temps de séjour est déterminé en additionnant le temps moyen de détection (MTTD) et le temps moyen de réparation/remédiation (MTTR), et se mesure généralement en jours. On l’appelle parfois « l’écart de détection des brèches ».
E – F
EDR (Endpoint Detection and Response)
Un EDR est une solution de sécurité pour les endpoint (postes de travail, serveurs, etc.). Son objectif est de détecter les activités suspectes.
Souvent qualifié d’antivirus « next gen« , il fonctionne surtout par des analyses comportementales, contrairement aux AV qui exploitent depuis longtemps un modèle à base de signature.
Un agent est installé sur le système hôte (OS) pour détecter des attaques inconnue.
EPP (Endpoint Protection Platform)
Un EPP est une solution de sécurité des endpoints (postes de travail, serveurs etc.), souvent liée à l’EDR, issue du monde des antivirus de nouvelle génération. Un tel agent est capable et de déployer des mesures de confinement ou sécurisation automatiques contre ces menaces (par exemple : isolation du endpoint par un filtrage réseau strict, arrêt d’un processus, etc.) , avec des fonctionnalités avancées pour effectuer des investigations à distance.
I – J
IOC (Indicator of Compromise)
Un IOC est un artefact observé sur un réseau ou dans un système d’exploitation qui indique, avec un haut niveau de certitude, une intrusion informatique.
Des exemples d’indicateurs de compromission sont : des signatures virales, des adresses IP particulières, les hash de fichiers malveillants, des URLs ou des noms de domaine de serveurs de commande et de contrôle de botnet.
Les IOC identifiés de précédentes attaques peuvent être utilisés pour la détection précoce des tentatives d’attaque à l’encontre d’autres SI, ou déterminer si une attaque similaire a déjà été subie.
K – L
Kill Chain
Modélisation des cyber-attaques par une décomposition du mode opératoire des attaques en plusieurs étapes.
Principe importé du monde militaire et appliqué pour la 1ère fois au monde informatique par la société Lockheed Martin en 2011. Plusieurs modélisations ont été proposées par des sociétés ou organismes, dont le modèle ATT&CK du MITRE.
La Kill Chain permet aux équipes de SecOps de travailler sur les différents niveaux pour prévenir, détecter ou intercepter les cyberattaques.
M – N
MITRE ATT&CK
Le MITRE ATT&CK est une base de connaissances sur les modes opératoires des attaques cyber. Ce framework s’appuie sur les observations issues d’attaques réelles pour classifier les tactiques et les techniques des attaquants. Cette modélisation des menaces facilite la détection et l’analyse des comportements adverses.
Cette base de connaissances ne se focalise pas les outils et les logiciels malveillants mis en œuvre par les attaquants, mais sur la façon dont ils mènent leurs actions.
MTTD (Mean Time To Detect)
Le MTTD correspond au temps moyen de détection qu’il faut à une équipe pour découvrir des incidents dans son environnement. Plus le MTTD d’une entreprise est faible, plus elle a de chances de limiter les dommages. Les technologies d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR), la compréhension du profil de risque, les programmes robustes de cyber résilience et les plans de réponse aux incidents sont autant d’éléments qui peuvent aider les organisations à réduire leur MTTD. La réduction de la MTTD permet également de réduire le temps d’attente.
MTTR (Mean Time To Respond)
Le temps moyen de réponse est le temps qu’il faut à une organisation pour neutraliser une menace ou une défaillance identifiée dans son environnement réseau. La remédiation aux menaces est le processus que les organisations utilisent pour identifier et résoudre les menaces qui pèsent sur leur environnement réseau. Une menace est une intrusion/infiltration malveillante dans un système pour voler des informations, avoir un effet négatif sur les opérations ou endommager le matériel ou les logiciels. Des personnes hautement qualifiées (« yeux sur la vitre ») sont le premier moyen de réduire le MTTR pour ajouter l’élément humain et comprendre les processus et la technologie. L’existence de processus, de plans et de responsabilités définies contribue à renforcer la confiance et à donner aux bons groupes les moyens d’agir et de remédier à la situation.
NIS 2 (Network and Information Security 2)
Directive Européenne qui remplace la première directive NIS datant de janvier 2016 et qui a créé un cadre pour imposer un seuil de cyber sécurité aux entreprises de 10 secteurs jugés sensibles pour l’Union Européenne. Cette directive NIS 2 va étendre sensiblement le périmètre couvert par la directive initiale avec 18 secteurs et plus de 600 types d’entité. Elle donnera une dimension plus forte aux dimensions opérationnelles avec des compétences cyber et des moyens de détection renforcés et vérifiés. Sa transposition est attendue en France en 2024, elle s’accompagnera d’une obligation de mise en œuvre avec des sanctions exprimées en pourcentage de chiffre d’affaires. C’est avant tout une véritable opportunité de progression pour de nombreuses entreprises.
O – P
OIV (Opérateurs d’Importance Vitale)
Un opérateur d’importance vitale est une organisation identifiée comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population. Pour des raisons de sécurité nationale, la liste des OIV n’est pas publique. Les entreprises désignées ne peuvent pas communiquer sur leur implication au dispositif.
PCI DSS (Payment Card Industry Data Security Standard)
Désigne les normes de sécurité des données applicables à l’industrie des cartes de paiement (banques, sites de e-commerce, centre d’appels, prestataires de service de paiement (PSP), etc.)
Q – R
RSSI / CISO (Responsable de la Sécurité des Systèmes d’Information)
CISO en anglais : Chief Information Security Officer
Personne qui assure le pilotage de la démarche de cybersécurité sur un périmètre organisationnel et/ou géographique (d’une entreprise ou d’une organisation).
Le RSSI définit et développe la politique de sécurité de l’information et est garant de sa mise en œuvre et en assure le suivi.
Le RSSI s’assure de la mise en place des solutions et des processus opérationnels pour garantir la protection des données et le niveau de sécurité des systèmes d’information.
Il assure un rôle de conseil, d’assistance, d’information, de formation et d’alerte, en particulier auprès des directeurs métiers et/ou de la direction de son périmètre.
Il joue un rôle opérationnel dans la mise en œuvre de la politique de sécurité des SI ou encadre une équipe, selon la taille de l’organisation.
Ransomware
Aujourd’hui considérée comme étant l’une des cybermenaces les plus plébiscitées par les cybercriminels, le rançongiciel ou ransomware en anglais est un type d’attaque informatique qui bloque l’accès à l’appareil ou aux fichiers d’une victime et qui exige le paiement d’une rançon en échange du rétablissement de l’accès.
S – T
Sensibilisation cyber
Ensemble des actions menées pour augmenter la perception des enjeux cyber et des grands principes comportementaux à adopter. En France, de nombreuses actions menées par l’ANSSI démontrent leur efficacité. Dans les univers professionnels, le concept d’acculturation Cyber commence à prendre le pas sur la sensibilisation Cyber.
SIEM (Security Information and Event Management)
Security Information and Event Management
Solution de détection et de réponse aux incidents de sécurité. Le SIEM agrège et corrèle les données techniques (logs) provenant de différentes sources du SI (PC, serveurs, routeurs et switch, firewalls, EDR/antivirus, proxy, etc.) pour aider à la détection des attaques.
Face à l’hétérogénéité des sources disponibles, le SIEM doit souvent assurer une normalisation des données afin d’être en mesure de les exploiter efficacement.
Outre les alertes émises en cas d’attaques, selon les types et seuils de détection paramétrés, le SIEM dispose de dashbaords qui offrent une vue d’ensemble de la posture de sécurité du SI. Il permet aussi de requêter les données collectées dans le temps pour retrouver des traces d’incidents passés.
Exemples de solutions : Sekoia.io, QRadar, Splunk, ArcSight, AlienVault, LogRhythm, Graylog, Logpoint, Datadog, Azure (Microsoft), Elastic (ex ELK), Wazuh, etc.
Article MISC : https://connect.ed-diamond.com/MISC/misc-094/elk-un-siem-a-prendre-au-serieux
SIM3 (Security Incident Management Maturity Model)
Modèle de maturité de la gestion des incidents de sécurité qui permet de :
- certifier des CERT / CSIRT sur cette gestion des incidents (manière dont l’équipe régit, documente, exécute et mesure son fonctionnement)
- mettre en place des CERT / CSIRT en définissant une trajectoire cohérente de déploiement
Concerne aussi bien les CERT / CSIRT gouvernementaux que privés (internes mais aussi prestataires de services).
SIRP (Security Incident and Response Platform)
Il s’agit d’un système logiciel qui guide, assiste et automatise la réponse aux incidents. Les services de réponse aux incidents fournissent trois capacités clés : soutenir les flux de travail des analystes – aider les analystes de sécurité à collaborer autour d’un incident de sécurité en fournissant une gestion de cas.
SOAR (Security Orchestration, Automation and Response)
Le SOAR regroupe les technologies qui permettent de protéger les systèmes informatiques contre les menaces. Les plateformes SOAR peuvent surveiller les flux d’informations sur les menaces et déclencher des réponses automatisées afin de limiter les problèmes de sécurité.
Le SOAR fait généralement référence à trois capacités clés qu’utilisent les équipes de sécurité :
- La gestion des cas et des workflows. Les technologies SOAR s’accompagnent souvent de workflows préconfigurés pour les cas d’utilisation courants.
- L’automatisation des tâches et la centralisation de l’accès ; c’est-à-dire exécuter des tâches d’exploitation liées à la sécurité sans intervention humaine. En matière de sécurité, le besoin d’automatisation est souvent plus élevé en raison de la complexité de l’infrastructure et d’une intégration sans doute insuffisante entre les différentes parties de l’infrastructure. L’automatisation permet de rationaliser les tâches quotidiennes et d’intégrer d’emblée la sécurité aux processus, aux applications et à l’infrastructure, comme dans le cadre d’une approche DevOps. C’est la fonctionnalité la plus connue des SOAR.
- L’interrogation et du partage des informations sur les menaces. L’automatisation peut servir de force unificatrice et de langage commun entre les services.
L’orchestration de la sécurité permet de connecter et d’intégrer des outils et systèmes de sécurité différents afin de rationaliser les processus.
Une entreprise met généralement en œuvre le SOAR en coordination avec son centre opérationnel de sécurité (SOC).
SOC / NOC (Security Operation Center / Network Operation Center)
Cellule en charge de :
- détecter les événements de sécurité et comportements atypiques, permettant ainsi aux organisations de détecter au plus tôt les menaces risquant de toucher le système d’information.
- alerter sur les incidents de sécurité
- animer et coordonner la réaction sur les incidents de sécurité
- faire le lien avec les autres équipes opérationnelles et de sécurité (CSIRT par exemple)
Il s’appuie sur de nombreuses solutions : le SIEM pour la centralisation et corrélation des alertes, la CTI pour la connaissance des menaces, les outils de défense type EDR / IDS / FW, etc.
Un des enjeux essentiel pour le SOC : valoriser les données (face au volume de données traité) : collecter, décoder, détecter, qualifier.
SPF (Sender Policy Framework)
Indique les serveurs et domaines autorisés à envoyer des e-mails au nom de votre organisation.
Supply chain
Compromission d’une source centralisée ou décentralisée de composants logiciels tier. Le but est d’introduire du code malveillant directement dans la source ou indirectement par le biais d’une contrainte de l’arbre de dépendance.
TTP (Tactic Technic and Procedure)
Mode opératoire d’une attaque cyber. Décrit la méthode utilisée pour déterminer le comportement d’un acteur de la menace (hacker). Ces trois éléments aident à mieux comprendre les adversaires.
- Les tactiques : Il s’agit des stratégies que les acteurs de la menace utilisent pour accéder à des systèmes et des informations. En d’autres termes, c’est le « comment » des cyberattaques. Les pirates peuvent choisir d’exploiter des informations confidentielles ou de s’introduire dans un site Web pour atteindre leurs objectifs.
- Les techniques : Il s’agit des méthodes ou outils intermédiaires non spécifiques qu’un criminel utilisera pour compromettre les informations. Le hameçonnage par le biais de pièces jointes à des courriels n’est qu’un exemple parmi d’autres.
- Les procédures : Il s’agit de la description étape par étape de la manière dont l’attaquant prévoit d’atteindre son objectif. En d’autres termes, comment exécuter en détail les techniques générales ?
W – X
WIM (Windows Management Instrumentation)
Le Windows Management Instrumentation (WMI) est l’infrastructure pour les données de gestion et les opérations sur les systèmes d’exploitation Windows.
XDR (Extended Detection and Response)
Le concept XDR est une nouvelle approche de la cybersécurité. En tant que plateforme pouvant être facilement déployée pour nativement combiner la puissance de nombreux capteurs puissants comme l’EDR, l’EPP, le SIEM, le NTA, les plateformes de protection dans le cloud, les Honeypots, etc.