Contenu du cours
Quiz Gratuits — Aperçu Examens Blancs
A

Arrangement de Wassenaar

Régime multilatéral de contrôle des exportations portant sur les armes conventionnelles et les biens et technologies à double usage, incluant les cyberarmes telles que les logiciels malveillants, les logiciels de commandement et contrôle (C2) et les logiciels de surveillance Internet.

Une entreprise qui exporte un outil de test d'intrusion doit vérifier sa conformité avec l'Arrangement de Wassenaar avant de le commercialiser à l'international.

Asymmetric Cryptography (cryptographie asymétrique)

Type de cryptographie utilisant une paire de clés (clé publique et clé privée) pour chiffrer, déchiffrer et signer des données, constituant le fondement de la non-répudiation et de l'authentification forte.

Lors de la signature numérique d'un contrat, la cryptographie asymétrique garantit que seul le détenteur de la clé privée a pu apposer la signature.

B

BIA (Business Impact Analysis)

Processus d'identification des fonctions critiques de l'organisation et des ressources associées, permettant d'évaluer l'impact d'une interruption sur les opérations métier, y compris les actifs physiques et logiques.

La BIA a révélé que l'indisponibilité du système de facturation pendant plus de quatre heures entraînerait des pertes financières critiques pour l'organisation.

C

Code de Fair Information Practices (FIPPs)

Ensemble de principes régissant la collecte, l'utilisation et la divulgation des informations personnelles, incluant notamment les principes de participation individuelle, de limitation de la collecte et d'ouverture.

En vertu du principe de participation individuelle des FIPPs, un patient d'un hôpital peut demander l'accès à ses dossiers médicaux via un portail en ligne.

Collection Limitation Principle (principe de limitation de la collecte)

Principe de protection des données, issu notamment des lignes directrices de l'OCDE, stipulant que les données personnelles doivent être collectées par des moyens licites et loyaux, et uniquement dans la mesure nécessaire à la finalité déclarée.

Une application mobile qui collecte la géolocalisation en continu sans consentement explicite viole le principe de limitation de la collecte.

D

Data Sovereignty (souveraineté des données)

Principe selon lequel les données stockées dans un environnement cloud sont soumises aux lois et réglementations du pays ou de la région où elles sont physiquement hébergées.

Une entreprise européenne utilisant un fournisseur cloud dont les serveurs sont situés aux États-Unis doit tenir compte de la souveraineté des données et de son impact sur la conformité au RGPD.

Defense-in-Depth (défense en profondeur)

Stratégie de sécurité reposant sur la superposition de multiples couches de contrôles (barrières physiques, contrôles d'accès, caméras, alarmes, gardiens) afin qu'une défaillance d'un niveau ne compromette pas l'ensemble du système.

L'organisation a mis en œuvre une défense en profondeur en combinant des clôtures périmètriques, des systèmes de badge, des caméras de surveillance et des rondes de gardiens.

Diffie-Hellman

Protocole d'échange de clés cryptographiques dont la sécurité repose sur la difficulté du calcul des logarithmes discrets dans un corps fini ; il permet de distribuer des clés mais ne peut pas chiffrer ni déchiffrer de messages.

Lors de l'établissement d'une session TLS, le protocole Diffie-Hellman est utilisé pour négocier une clé de session symétrique entre le client et le serveur.

DLP (Data Loss Prevention)

Ensemble de technologies et de politiques destinées à détecter et prévenir la transmission non autorisée de données sensibles hors d'un périmètre défini, notamment dans les environnements cloud.

Le système DLP a bloqué l'envoi par e-mail d'un fichier contenant des numéros de cartes bancaires vers une adresse externe non autorisée.

G

GDPR (Règlement Général sur la Protection des Données)

Réglementation européenne encadrant le traitement des données personnelles des résidents de l'UE, imposant notamment un délai maximal de 72 heures pour notifier une violation de données à l'autorité de contrôle compétente.

Suite à une fuite de données clients, le responsable de la sécurité a déclenché la procédure de notification RGPD dans les 72 heures suivant la détection de l'incident.

H

HMAC (Hash-based Message Authentication Code)

Mécanisme de vérification de l'intégrité et de l'authenticité d'un message combinant une fonction de hachage cryptographique et une clé secrète partagée, sans fournir à lui seul de chiffrement ou de non-répudiation.

L'API bancaire utilise HMAC-SHA256 pour s'assurer que les requêtes reçues n'ont pas été altérées en transit et proviennent bien d'un client authentifié.

I

ISMS (Information Security Management System)

Système de management documenté définissant les politiques, processus et contrôles permettant de gérer la sécurité de l'information de manière systématique, en commençant par l'identification et la valorisation des actifs informationnels.

L'organisation a mis en place un ISMS conforme à la norme ISO/IEC 27001 afin d'encadrer la gestion des risques sur l'ensemble de ses systèmes d'information.

ITIL (Information Technology Infrastructure Library)

Référentiel de bonnes pratiques pour la gestion des services informatiques visant à réduire les coûts, atténuer les risques et améliorer la qualité de service fournie aux utilisateurs.

En adoptant ITIL, le département IT a standardisé ses processus de gestion des incidents et réduit son délai moyen de résolution de 40 %.

K

Known-Plaintext Attack (attaque à texte clair connu)

Méthode d'analyse cryptographique dans laquelle l'attaquant dispose à la fois du texte chiffré et du texte clair correspondant, lui permettant de déduire la clé ou l'algorithme de chiffrement utilisé.

Un analyste a utilisé une attaque à texte clair connu pour retrouver la clé d'un chiffrement monoalphabétique en comparant des paires texte clair/texte chiffré interceptées.

M

Mantrap

Dispositif de contrôle d'accès physique constitué de deux portes successives formant un sas, conçu pour empêcher le talonnage (tailgating) et contrôler l'entrée dans une zone sécurisée.

Pour accéder à la salle des serveurs, chaque employé doit traverser un mantrap où sa carte d'accès et son code PIN sont vérifiés avant que la seconde porte ne s'ouvre.

MVP (Minimum Viable Product)

Version initiale et fonctionnelle d'une application ne contenant que les fonctionnalités essentielles, sur laquelle une évaluation de sécurité — notamment une revue de code — doit être conduite avant tout déploiement.

Avant la mise en production du MVP de l'application de crédit, le responsable sécurité a exigé une revue de code formelle pour détecter les vulnérabilités telles que les injections SQL.

N

Non-répudiation

Propriété cryptographique garantissant qu'un acteur ne peut pas nier avoir effectué une action ou émis un message, généralement mise en œuvre via la signature numérique reposant sur la cryptographie asymétrique.

Grâce à la non-répudiation assurée par la signature numérique, l'expéditeur d'un ordre de virement ne peut pas contester l'avoir initié.

P

PDCA (Plan-Do-Check-Act)

Modèle de gestion cyclique de l'amélioration continue appliqué notamment au management de la continuité d'activité (BCM) et à la sécurité de l'information, où la phase 'Do' correspond à la mise en œuvre des politiques et contrôles planifiés.

Dans le cadre du PDCA appliqué au BCM, la phase 'Do' a consisté à déployer les plans de continuité d'activité et à former les équipes aux procédures de reprise.

PKI (Public Key Infrastructure)

Infrastructure de gestion des clés publiques composée d'autorités de certification (CA), de certificats numériques et de listes de révocation, assurant l'intégrité, l'authenticité et la non-répudiation des transactions électroniques.

L'organisation a déployé une PKI interne pour émettre des certificats d'authentification à l'ensemble de ses collaborateurs et sécuriser les communications inter-systèmes.

R

RAID (Redundant Array of Independent Disks)

Technologie de stockage combinant plusieurs disques physiques pour améliorer les performances et/ou la tolérance aux pannes ; RAID-0 optimise les performances sans redondance, RAID-1 assure la mise en miroir, et RAID-5 offre le meilleur compromis entre redondance et efficacité de stockage.

Le responsable infrastructure a recommandé une configuration RAID-5 pour le nouveau SAN afin de garantir la tolérance aux pannes tout en optimisant la capacité de stockage disponible.

RPO (Recovery Point Objective)

Indicateur de continuité d'activité définissant la quantité maximale de données qu'une organisation peut se permettre de perdre, exprimée en unité de temps, en cas d'interruption ou de sinistre.

Avec un RPO fixé à quatre heures, l'organisation doit effectuer des sauvegardes au moins toutes les quatre heures pour respecter son seuil de tolérance à la perte de données.

S

SAN (Storage Area Network)

Infrastructure réseau dédiée au stockage permettant de connecter des serveurs à des ressources de stockage partagées à haute performance ; la déduplication des données y est souvent appliquée pour réduire l'espace consommé par les données redondantes.

L'équipe IT a activé la déduplication sur le SAN pour éliminer les copies redondantes de fichiers et libérer plusieurs téraoctets de capacité de stockage.

Security Kernel (noyau de sécurité)

Composant central et privilégié du système d'exploitation chargé d'appliquer les politiques de sécurité et de médiatiser tous les accès entre le matériel, le système d'exploitation et les autres composants du système informatique.

Tout accès d'une application utilisateur à une ressource matérielle sensible est systématiquement intercepté et contrôlé par le noyau de sécurité du système d'exploitation.

SOC 2 Type 2

Rapport d'audit de contrôle des organisations de services (Service Organization Control) évaluant l'efficacité opérationnelle des contrôles relatifs à la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée sur une période donnée, selon les Trust Services Criteria.

Avant de signer le contrat, le service achats a exigé que le prestataire SaaS fournisse un rapport SOC 2 Type 2 récent attestant de l'efficacité continue de ses contrôles de sécurité.

T

TPM (Trusted Platform Module)

Module matériel de sécurité dédié au stockage sécurisé des clés cryptographiques, garantissant que les clés privées ne peuvent pas être extraites du composant, même en cas d'accès physique à la machine.

L'autorité de certification interne stocke sa clé privée racine dans un TPM afin de prévenir toute extraction non autorisée, même par un administrateur disposant d'un accès physique au serveur.

Retour en haut