Glossaire Cybersécurité et Conformité

Définitions claires des termes SOC 2, ISO 27001, RGPD et cybersécurité. Tout ce qu'il faut pour comprendre la conformité.

Read in English

Normes et Certifications Françaises

8 termes

Certifications et référentiels spécifiques au contexte réglementaire français

SMSI
Système de Management de la Sécurité de l'Information. Approche systématique de gestion des informations sensibles d'une organisation, comprenant les personnes, processus et systèmes informatiques. Le SMSI applique un processus de gestion des risques pour protéger la confidentialité, l'intégrité et la disponibilité des informations. Requis pour la certification ISO 27001.
En anglais : ISMS (Information Security Management System)
Termes associés :ISO 27001, Analyse de risques, Déclaration d'applicabilité
Article disponible
HDS
Hébergeur de Données de Santé. Certification française obligatoire pour tout organisme hébergeant des données de santé à caractère personnel. Basée sur ISO 27001 avec des exigences spécifiques au secteur de la santé. Délivrée par des organismes accrédités COFRAC pour une durée de 3 ans.
En anglais : Health Data Hosting (French certification)
Termes associés :ISO 27001, RGPD, Données personnelles +1 autres
SecNumCloud
Visa de sécurité délivré par l'ANSSI aux prestataires de services cloud démontrant un niveau de sécurité élevé. Exigé pour l'hébergement de données sensibles des administrations françaises et recommandé pour les OIV. La qualification est valable 3 ans avec des audits de surveillance annuels.
Termes associés :ANSSI, Cloud, OIV +1 autres
ANSSI
Agence Nationale de la Sécurité des Systèmes d'Information, autorité nationale française en matière de cybersécurité. Elle définit les référentiels de sécurité (SecNumCloud, PASSI), qualifie les prestataires, et accompagne les OIV et OSE dans leur mise en conformité NIS 2 et DORA.
Termes associés :SecNumCloud, OIV, NIS 2 +1 autres
COFRAC
Comité Français d'Accréditation, unique organisme national d'accréditation en France. Accrédite les organismes certificateurs ISO 27001, les auditeurs HDS et les laboratoires de tests. L'accréditation COFRAC garantit la compétence et l'impartialité des évaluateurs.
Termes associés :ISO 27001, HDS, Organisme de certification
PASSI
Prestataire d'Audit de la Sécurité des Systèmes d'Information. Qualification délivrée par l'ANSSI aux prestataires d'audit de sécurité informatique. Obligatoire pour réaliser des audits de sécurité pour les OIV. Comprend différents niveaux selon le type d'audit : audit d'architecture, de configuration, de code source ou tests d'intrusion.
Termes associés :ANSSI, Test d'intrusion, OIV +1 autres
OIV
Opérateur d'Importance Vitale. Organisation identifiée par l'État français dont l'activité est indispensable au fonctionnement de la nation. Les OIV sont soumis à des obligations de sécurité renforcées définies par l'ANSSI, incluant la déclaration d'incidents et l'audit régulier de leurs SIIV (Systèmes d'Information d'Importance Vitale).
Termes associés :ANSSI, NIS 2, OSE +1 autres
OSE
Opérateur de Services Essentiels. Organisation fournissant un service essentiel au fonctionnement de la société ou de l'économie, désignée au titre de la directive NIS. Les OSE ont des obligations de sécurité et de notification d'incidents auprès de l'ANSSI. Concept remplacé par les entités essentielles sous NIS 2.
Termes associés :NIS 2, ANSSI, OIV +1 autres

Réglementation Européenne

5 termes

Directives et règlements de l'Union européenne en matière de cybersécurité et protection des données

RGPD
Règlement Général sur la Protection des Données. Règlement européen encadrant le traitement des données personnelles, applicable depuis mai 2018. Impose des obligations aux responsables de traitement et sous-traitants : base légale, droits des personnes, registre des traitements, notification des violations. Sanctions jusqu'à 20 millions d'euros ou 4% du CA mondial.
En anglais : GDPR (General Data Protection Regulation)
Termes associés :Données personnelles, Responsable de traitement, Sous-traitant +2 autres
Article disponible
NIS 2
Directive sur la sécurité des réseaux et des systèmes d'information. Directive européenne renforçant les exigences de cybersécurité pour un plus large éventail de secteurs. Distingue les entités essentielles des entités importantes avec des obligations différenciées. Impose la gestion des risques cyber, la notification d'incidents sous 24h, et la responsabilité des dirigeants.
En anglais : NIS 2 Directive
Termes associés :ANSSI, OSE, DORA +2 autres
Article disponible
DORA
Digital Operational Resilience Act. Règlement européen sur la résilience opérationnelle numérique du secteur financier, applicable depuis janvier 2025. Impose aux entités financières des exigences en matière de gestion des risques TIC, de tests de résilience, de gestion des incidents et de surveillance des prestataires tiers critiques.
En anglais : DORA (Digital Operational Resilience Act)
Termes associés :NIS 2, Continuité d'activité, Résilience opérationnelle +1 autres
Article disponible
Entité essentielle
Catégorie d'organisation sous NIS 2 soumise aux exigences les plus strictes. Comprend les grandes entreprises dans les secteurs hautement critiques (énergie, transport, santé, banque) et certaines entités spécifiques quelle que soit leur taille. Supervision proactive par l'autorité compétente.
Termes associés :NIS 2, Entité importante, ANSSI +1 autres
Entité importante
Catégorie d'organisation sous NIS 2 avec des obligations allégées par rapport aux entités essentielles. Comprend les moyennes entreprises des secteurs critiques et les grandes entreprises des autres secteurs couverts. Supervision réactive basée sur les incidents et signalements.
Termes associés :NIS 2, Entité essentielle, ANSSI

Gestion des Risques

5 termes

Termes relatifs à l'analyse, l'évaluation et le traitement des risques de sécurité

Analyse de risques
Processus d'identification, d'évaluation et de priorisation des risques pesant sur les actifs informationnels d'une organisation. Comprend l'identification des menaces, des vulnérabilités, l'estimation de la vraisemblance et de l'impact. Fondement du SMSI et requis par ISO 27001, SOC 2 et NIS 2.
En anglais : Risk Assessment
Termes associés :Registre des risques, SMSI, ISO 27001 +1 autres
Article disponible
Registre des risques
Document central recensant tous les risques identifiés avec leur vraisemblance, impact, niveau de risque, décision de traitement, mesures appliquées et risque résiduel. Doit être maintenu à jour et revu régulièrement. Document clé pour les audits ISO 27001.
En anglais : Risk Register
Termes associés :Analyse de risques, Traitement des risques, SMSI +1 autres
Traitement des risques
Processus de sélection et mise en œuvre des options pour modifier le risque : réduction (mise en place de mesures), transfert (assurance, externalisation), évitement (arrêt de l'activité) ou acceptation (risque résiduel toléré). Chaque décision doit être documentée et approuvée par la direction.
En anglais : Risk Treatment
Termes associés :Analyse de risques, Risque résiduel, Mesure de sécurité +1 autres
Risque résiduel
Niveau de risque subsistant après l'application des mesures de traitement. Doit être formellement accepté par la direction et documenté. Un risque résiduel jugé trop élevé nécessite des mesures complémentaires ou une révision de la stratégie.
En anglais : Residual Risk
Termes associés :Traitement des risques, Analyse de risques, Appétit pour le risque
Appétit pour le risque
Niveau de risque qu'une organisation est prête à accepter dans la poursuite de ses objectifs. Défini par la direction et guide les décisions de traitement des risques. Permet de prioriser les investissements en sécurité selon la tolérance de l'organisation.
En anglais : Risk Appetite
Termes associés :Risque résiduel, Traitement des risques, Gouvernance

Continuité et Reprise d'Activité

6 termes

Termes relatifs à la résilience opérationnelle et la reprise après incident

PCA
Plan de Continuité d'Activité. Ensemble de procédures documentées permettant à une organisation de maintenir ses activités essentielles en cas de sinistre majeur. Définit les processus critiques, les ressources nécessaires, les sites de repli et les procédures de basculement. Doit être testé régulièrement par des exercices.
En anglais : BCP (Business Continuity Plan)
Termes associés :PRA, RTO, RPO +1 autres
PRA
Plan de Reprise d'Activité. Plan technique détaillant les procédures de restauration des systèmes informatiques après un sinistre. Inclut les procédures de restauration des sauvegardes, de reconstruction des systèmes, et de vérification de l'intégrité des données. Complémentaire au PCA.
En anglais : DRP (Disaster Recovery Plan)
Termes associés :PCA, RTO, RPO +1 autres
RTO
Recovery Time Objective. Durée maximale acceptable d'interruption d'un système ou processus après un incident. Définit le temps cible pour restaurer les services. Un RTO de 4 heures signifie que le système doit être opérationnel dans les 4 heures suivant l'incident.
En anglais : RTO (Recovery Time Objective)
Termes associés :RPO, PCA, PRA +1 autres
RPO
Recovery Point Objective. Quantité maximale de données qu'une organisation accepte de perdre en cas d'incident, exprimée en durée. Un RPO de 1 heure signifie que les sauvegardes doivent permettre de restaurer les données avec une perte maximale d'une heure de travail.
En anglais : RPO (Recovery Point Objective)
Termes associés :RTO, PCA, PRA +1 autres
Analyse d'impact métier
BIA (Business Impact Analysis). Processus d'identification des processus métier critiques et d'évaluation de l'impact d'une interruption. Détermine les RTO/RPO requis pour chaque processus, les dépendances entre systèmes et les ressources minimales nécessaires. Fondement du PCA.
En anglais : BIA (Business Impact Analysis)
Termes associés :PCA, RTO, RPO +1 autres
Résilience opérationnelle
Capacité d'une organisation à anticiper, prévenir, répondre et s'adapter aux perturbations opérationnelles tout en continuant à fournir ses services. Concept central de DORA pour le secteur financier, englobant la continuité d'activité, la cybersécurité et la gestion des tiers.
En anglais : Operational Resilience
Termes associés :DORA, PCA, Gestion de crise +1 autres

SOC 2

6 termes

Termes relatifs à la conformité SOC 2 et aux audits AICPA

SOC 2
System and Organization Controls 2. Procédure d'audit développée par l'AICPA évaluant les contrôles d'une organisation de services en matière de sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée. Contrairement à ISO 27001, SOC 2 produit un rapport d'audit, pas une certification. Standard dominant aux États-Unis.
En anglais : SOC 2
Termes associés :Critères de services de confiance, SOC 2 Type 1, SOC 2 Type 2 +1 autres
Article disponible
Critères de services de confiance
TSC (Trust Services Criteria). Les cinq catégories de contrôles évalués dans un audit SOC 2 : Sécurité (obligatoire), Disponibilité, Intégrité du traitement, Confidentialité et Vie privée. Développés par l'AICPA, ces critères définissent les objectifs de contrôle que les organisations doivent atteindre.
En anglais : Trust Services Criteria (TSC)
Termes associés :SOC 2, AICPA, Mesure de sécurité
Article disponible
SOC 2 Type 1
Audit ponctuel évaluant si les contrôles sont conçus de manière appropriée à une date donnée. Prouve que les contrôles existent mais pas qu'ils fonctionnent efficacement dans le temps. La plupart des clients entreprise n'acceptent pas le Type 1 comme preuve de conformité suffisante.
En anglais : SOC 2 Type 1
Termes associés :SOC 2, SOC 2 Type 2, Période d'observation
Article disponible
SOC 2 Type 2
Audit sur une période évaluant si les contrôles sont conçus de manière appropriée ET fonctionnent efficacement sur une période d'observation minimale de 3 mois. C'est le standard attendu par les clients entreprise pour démontrer une conformité réelle.
En anglais : SOC 2 Type 2
Termes associés :SOC 2, SOC 2 Type 1, Période d'observation +1 autres
Article disponible
Période d'observation
Période minimale de 3 mois durant laquelle les auditeurs surveillent et testent les contrôles pour un rapport SOC 2 Type 2. Cette durée est définie par les normes AICPA et ne peut être réduite ou compressée.
En anglais : Observation Period
Termes associés :SOC 2 Type 2, Collecte de preuves, AICPA
Article disponible
AICPA
American Institute of Certified Public Accountants. Organisation professionnelle américaine qui a développé et maintient le référentiel SOC 2, les critères de services de confiance et les normes d'audit. Seuls les cabinets CPA agréés peuvent émettre des rapports SOC 2.
En anglais : AICPA
Termes associés :SOC 2, Critères de services de confiance, SOC 1 +1 autres

ISO 27001

9 termes

Termes relatifs à la certification ISO 27001 et au système de management de la sécurité

ISO 27001
Norme internationale pour les systèmes de management de la sécurité de l'information (SMSI), publiée par l'ISO. Contrairement à SOC 2, elle produit un certificat valable 3 ans avec des audits de surveillance annuels. Standard dominant en Europe et dans le monde hors États-Unis.
En anglais : ISO 27001
Termes associés :SMSI, Annexe A, Déclaration d'applicabilité +1 autres
Article disponible
Déclaration d'applicabilité
DdA (Statement of Applicability). Document clé ISO 27001 listant les 93 mesures de l'Annexe A et indiquant lesquelles sont applicables, lesquelles sont mises en œuvre, et la justification de toute exclusion. Requis pour la certification et audité lors des évaluations.
En anglais : Statement of Applicability (SoA)
Termes associés :ISO 27001, Annexe A, SMSI +1 autres
Article disponible
Annexe A
Les 93 mesures de sécurité organisées en 4 thèmes (Organisationnel, Personnel, Physique, Technologique) parmi lesquelles les organisations sélectionnent lors de la construction de leur SMSI ISO 27001. Toutes les mesures ne sont pas obligatoires, la sélection est basée sur l'analyse de risques.
En anglais : Annex A Controls
Termes associés :ISO 27001, Déclaration d'applicabilité, SMSI +1 autres
Article disponible
Audit initial
Étape 1 (Stage 1 Audit). Première phase de la certification ISO 27001 où les auditeurs examinent la documentation pour vérifier la maturité du SMSI. Couvre les politiques, la méthodologie d'analyse de risques, la DdA et l'engagement de la direction. Identifie les écarts avant l'Étape 2.
En anglais : Stage 1 Audit
Termes associés :ISO 27001, Audit de certification, SMSI +1 autres
Article disponible
Audit de certification
Étape 2 (Stage 2 Audit). Audit principal ISO 27001 où les auditeurs vérifient que les mesures sont mises en œuvre et fonctionnent efficacement. Comprend des entretiens, une revue des preuves et des tests. Aboutit à la certification en cas de succès.
En anglais : Stage 2 Audit
Termes associés :ISO 27001, Audit initial, Audit de surveillance +1 autres
Article disponible
Audit de surveillance
Audits annuels en années 2 et 3 du cycle de certification ISO 27001. Plus courts que la certification initiale, ils vérifient le maintien de la conformité et l'amélioration continue du SMSI.
En anglais : Surveillance Audit
Termes associés :ISO 27001, Audit de certification, SMSI +1 autres
Article disponible
Organisme de certification
Organisation accréditée autorisée à réaliser des audits ISO 27001 et à délivrer des certificats. Doit être accréditée par un organisme national d'accréditation (COFRAC en France, UKAS au Royaume-Uni) pour garantir la qualité des audits.
En anglais : Certification Body
Termes associés :ISO 27001, COFRAC, Audit initial +1 autres
Audit interne
Activité requise par ISO 27001 où l'organisation évalue elle-même l'efficacité de son SMSI avant les audits de certification externes. Doit être réalisé par des personnes indépendantes des domaines audités. Identifie les non-conformités et les opportunités d'amélioration.
En anglais : Internal Audit
Termes associés :ISO 27001, SMSI, Non-conformité +1 autres
Non-conformité
Écart identifié lors d'un audit par rapport aux exigences de la norme ou aux procédures internes. Peut être majeure (empêche la certification) ou mineure (à corriger dans un délai défini). Requiert une analyse des causes et des actions correctives.
En anglais : Non-conformity
Termes associés :Audit interne, Action corrective, ISO 27001 +1 autres

Protection des Données

15 termes

Termes relatifs au RGPD et à la protection des données personnelles

Données personnelles
Toute information se rapportant à une personne physique identifiée ou identifiable. Comprend les identifiants directs (nom, email), les identifiants en ligne (adresse IP, cookies) et toute donnée pouvant être combinée pour identifier quelqu'un.
En anglais : Personal Data
Termes associés :RGPD, Responsable de traitement, Sous-traitant +1 autres
Données sensibles
Catégories particulières de données personnelles nécessitant une protection renforcée selon l'article 9 du RGPD : origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, biométriques, de santé, et relatives à la vie sexuelle.
En anglais : Special Category Data / Sensitive Data
Termes associés :RGPD, Données personnelles, Base légale +1 autres
Responsable de traitement
Personne physique ou morale qui détermine les finalités et les moyens du traitement de données personnelles. Responsable de la conformité, doit avoir une base légale pour le traitement et est responsable des actions de ses sous-traitants.
En anglais : Data Controller
Termes associés :RGPD, Sous-traitant, Contrat de sous-traitance +1 autres
Article disponible
Sous-traitant
Organisation qui traite des données personnelles pour le compte d'un responsable de traitement. Doit suivre les instructions du responsable, avoir un contrat de sous-traitance et mettre en œuvre des mesures de sécurité appropriées. Exemples : hébergeurs cloud, fournisseurs CRM, outils analytics.
En anglais : Data Processor
Termes associés :RGPD, Responsable de traitement, Contrat de sous-traitance +1 autres
Article disponible
Contrat de sous-traitance
DPA (Data Processing Agreement). Contrat juridiquement contraignant entre responsable de traitement et sous-traitant définissant les conditions de traitement, les exigences de sécurité, les règles sur les sous-traitants ultérieurs et les obligations RGPD. Requis par l'article 28 du RGPD.
En anglais : Data Processing Agreement (DPA)
Termes associés :RGPD, Responsable de traitement, Sous-traitant +1 autres
Article disponible
Base légale
Un des six fondements juridiques requis pour traiter des données personnelles selon le RGPD : Consentement, Contrat, Obligation légale, Intérêts vitaux, Mission d'intérêt public ou Intérêts légitimes. La plupart des entreprises B2B SaaS s'appuient sur Contrat ou Intérêts légitimes.
En anglais : Lawful Basis
Termes associés :RGPD, Données personnelles, Responsable de traitement +1 autres
Article disponible
Droits des personnes concernées
Droits accordés aux individus par le RGPD : droit d'accès, de rectification, d'effacement (droit à l'oubli), de limitation du traitement, de portabilité des données, d'opposition, et droits relatifs à la prise de décision automatisée.
En anglais : Data Subject Rights
Termes associés :RGPD, Données personnelles, Demande d'exercice de droits
Article disponible
Demande d'exercice de droits
DSAR (Data Subject Access Request). Demande formelle d'un individu pour exercer ses droits sur ses données personnelles détenues par une organisation. Doit être traitée dans un délai d'un mois selon le RGPD, gratuitement.
En anglais : DSAR (Data Subject Access Request)
Termes associés :RGPD, Droits des personnes concernées, Données personnelles
DPO
Délégué à la Protection des Données (Data Protection Officer). Personne désignée responsable de la supervision de la conformité RGPD. Obligatoire pour les autorités publiques, les organisations effectuant un suivi systématique à grande échelle, ou celles traitant des données sensibles à grande échelle.
En anglais : DPO (Data Protection Officer)
Termes associés :RGPD, Responsable de traitement, CNIL
Article disponible
CNIL
Commission Nationale de l'Informatique et des Libertés. Autorité de contrôle française pour la protection des données personnelles. Veille à l'application du RGPD, traite les plaintes, peut effectuer des contrôles et prononcer des sanctions. Publie également des recommandations et guides pratiques.
Termes associés :RGPD, DPO, Responsable de traitement +1 autres
AIPD
Analyse d'Impact relative à la Protection des Données (DPIA). Processus structuré requis par le RGPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits des personnes. Identifie les risques vie privée, évalue la nécessité et la proportionnalité, et documente les mesures d'atténuation.
En anglais : DPIA (Data Protection Impact Assessment)
Termes associés :RGPD, Protection dès la conception, Analyse de risques +1 autres
Protection dès la conception
Privacy by Design. Approche de développement intégrant les considérations de vie privée dans les systèmes, produits et pratiques métier dès le départ plutôt qu'après coup. Requise par l'article 25 du RGPD. Inclut des principes comme la minimisation des données, la limitation des finalités et la sécurité par défaut.
En anglais : Privacy by Design
Termes associés :RGPD, AIPD, Données personnelles +1 autres
Violation de données
Faille de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles. Doit être notifiée à la CNIL dans les 72 heures si elle présente un risque pour les personnes, et aux personnes concernées si le risque est élevé.
En anglais : Data Breach
Termes associés :RGPD, CNIL, Données personnelles +1 autres
Registre des traitements
RoPA (Records of Processing Activities). Document obligatoire sous le RGPD recensant tous les traitements de données personnelles d'une organisation : finalités, catégories de données, destinataires, transferts hors UE, durées de conservation et mesures de sécurité.
En anglais : Records of Processing Activities (RoPA)
Termes associés :RGPD, Responsable de traitement, Cartographie des données +1 autres
Cartographie des données
Data Mapping. Processus de documentation des données personnelles collectées par une organisation : où elles sont stockées, comment elles circulent dans les systèmes, qui y a accès et combien de temps elles sont conservées. Requis pour la conformité RGPD et fondement du registre des traitements.
En anglais : Data Mapping
Termes associés :RGPD, Données personnelles, Registre des traitements +1 autres

Mesures de Sécurité

15 termes

Contrôles techniques et organisationnels de cybersécurité

Mesure de sécurité
Dispositif ou contre-mesure mis en œuvre pour réduire un risque à un niveau acceptable. Peut être technique (pare-feu, chiffrement), organisationnel (politiques, formations) ou physique (serrures, caméras).
En anglais : Security Control
Termes associés :Analyse de risques, Annexe A, Critères de services de confiance
MFA
Authentification Multi-Facteurs (Multi-Factor Authentication). Mécanisme de sécurité exigeant au moins deux facteurs de vérification pour accéder à un compte ou système. Combine généralement quelque chose que vous connaissez (mot de passe), quelque chose que vous possédez (téléphone/token) ou quelque chose que vous êtes (biométrie).
En anglais : MFA (Multi-Factor Authentication)
Termes associés :Contrôle d'accès, Moindre privilège, Mesure de sécurité
Chiffrement au repos
Pratique de chiffrement des données stockées (bases de données, systèmes de fichiers, sauvegardes) pour qu'elles ne puissent être lues sans la clé de déchiffrement. Le standard est AES-256. Requis par SOC 2 et la plupart des référentiels de conformité.
En anglais : Encryption at Rest
Termes associés :Chiffrement en transit, Mesure de sécurité, SOC 2 +1 autres
Chiffrement en transit
Pratique de chiffrement des données lors de leur transfert entre systèmes ou réseaux, utilisant des protocoles comme TLS 1.2 ou supérieur. Protège contre les attaques de type homme du milieu. Requis pour toutes les connexions externes dans les référentiels de conformité.
En anglais : Encryption in Transit
Termes associés :Chiffrement au repos, Mesure de sécurité, SOC 2 +1 autres
Test d'intrusion
Pentest (Penetration Testing). Cyberattaques simulées autorisées, réalisées par des professionnels de la sécurité, pour identifier les vulnérabilités avant les attaquants malveillants. Typiquement 20+ heures de tests manuels. Requis annuellement pour SOC 2, recommandé pour ISO 27001.
En anglais : Penetration Testing
Termes associés :Scan de vulnérabilités, SOC 2, Analyse de risques +1 autres
Scan de vulnérabilités
Outils automatisés qui analysent les systèmes, applications et réseaux à la recherche de vulnérabilités connues. Doit s'exécuter régulièrement (hebdomadairement ou à chaque changement de code). Complète mais ne remplace pas les tests d'intrusion.
En anglais : Vulnerability Scanning
Termes associés :Test d'intrusion, Analyse de risques, Mesure de sécurité +1 autres
Contrôle d'accès basé sur les rôles
RBAC (Role-Based Access Control). Méthode de restriction de l'accès aux systèmes basée sur les rôles des utilisateurs plutôt que sur des permissions individuelles. Implémente le moindre privilège en n'accordant que les accès nécessaires à chaque rôle.
En anglais : RBAC (Role-Based Access Control)
Termes associés :Moindre privilège, Revue des accès, MFA +1 autres
Moindre privilège
Principe de sécurité selon lequel les utilisateurs et systèmes ne doivent avoir que les accès minimaux nécessaires à l'exécution de leurs fonctions. Réduit la surface d'attaque et limite les dégâts en cas de compte compromis.
En anglais : Least Privilege
Termes associés :Contrôle d'accès basé sur les rôles, Revue des accès, Mesure de sécurité
Revue des accès
Examen périodique des droits d'accès des utilisateurs pour s'assurer qu'ils restent appropriés. Typiquement réalisée trimestriellement. Vérifie que le moindre privilège est maintenu et supprime les accès inappropriés.
En anglais : Access Review
Termes associés :Contrôle d'accès basé sur les rôles, Moindre privilège, Mesure de sécurité
SIEM
Security Information and Event Management. Système qui agrège et analyse les données de journaux de l'ensemble de l'infrastructure IT d'une organisation pour détecter les menaces de sécurité et permettre la réponse aux incidents.
En anglais : SIEM (Security Information and Event Management)
Termes associés :EDR, Gestion des incidents, Collecte de preuves +1 autres
EDR
Endpoint Detection and Response. Technologie de sécurité qui surveille les terminaux (ordinateurs portables, serveurs) pour détecter les activités suspectes, identifier les menaces et permettre une réponse rapide. Plus avancée que l'antivirus traditionnel.
En anglais : EDR (Endpoint Detection and Response)
Termes associés :MDM, SIEM, Gestion des incidents
MDM
Mobile Device Management. Logiciel permettant aux organisations de sécuriser, surveiller et gérer les appareils mobiles et ordinateurs portables des employés. Peut imposer le chiffrement, l'effacement à distance et les politiques de sécurité.
En anglais : MDM (Mobile Device Management)
Termes associés :EDR, Mesure de sécurité, Chiffrement au repos
Sensibilisation à la sécurité
Programmes de formation enseignant aux employés à reconnaître et répondre aux menaces de sécurité comme le phishing, l'ingénierie sociale et les risques de manipulation des données. Requis par SOC 2 et ISO 27001. Doit être réalisée à l'embauche et renouvelée annuellement.
En anglais : Security Awareness Training
Termes associés :Mesure de sécurité, SOC 2, ISO 27001 +1 autres
Simulation de phishing
Exercices contrôlés envoyant des emails de phishing simulés aux employés pour tester leur vigilance et mesurer leur susceptibilité aux attaques d'ingénierie sociale. Les résultats identifient les besoins de formation et suivent l'amélioration dans le temps.
En anglais : Phishing Simulation
Termes associés :Sensibilisation à la sécurité, Mesure de sécurité, Collecte de preuves
Journalisation
Piste d'audit (Audit Trail). Enregistrement chronologique des activités système documentant qui a fait quoi, quand et depuis où. Essentiel pour les investigations de sécurité, les audits de conformité et la détection des accès non autorisés.
En anglais : Audit Trail / Logging
Termes associés :SIEM, Collecte de preuves, Revue des accès

Gouvernance et Conformité

14 termes

Termes généraux de gouvernance et de management de la conformité

Référentiel de conformité
Ensemble structuré de lignes directrices, mesures et bonnes pratiques qu'une organisation suit pour répondre aux exigences réglementaires ou aux standards de l'industrie. Exemples : SOC 2, ISO 27001, RGPD, HDS, PCI DSS.
En anglais : Compliance Framework
Termes associés :SOC 2, ISO 27001, RGPD +2 autres
RSSI virtuel
vCISO (Virtual Chief Information Security Officer). Responsable de la Sécurité des Systèmes d'Information externalisé, fournissant un leadership stratégique en matière de sécurité à temps partiel ou de manière fractionnée. Alternative économique à un RSSI à temps plein pour les startups et PME.
En anglais : vCISO (Virtual Chief Information Security Officer)
Termes associés :DPO, Analyse de risques, Référentiel de conformité
GRC
Gouvernance, Risque et Conformité (Governance, Risk, and Compliance). Approche intégrée alignant l'informatique avec les objectifs métier, gérant efficacement les risques et répondant aux exigences réglementaires. Les plateformes GRC aident les organisations à coordonner les politiques et automatiser les tests de contrôles.
En anglais : GRC (Governance, Risk, and Compliance)
Termes associés :Analyse de risques, Référentiel de conformité, Mesure de sécurité +1 autres
Collecte de preuves
Processus de rassemblement de documentation et de preuves démontrant que les mesures sont mises en œuvre et fonctionnent efficacement. Peut être automatisée par des intégrations ou manuelle via captures d'écran, journaux et documents.
En anglais : Evidence Collection
Termes associés :SOC 2 Type 2, Période d'observation, Mesure de sécurité +1 autres
Article disponible
Gestion des incidents
Approche organisée pour détecter, répondre et se remettre des incidents de sécurité. Comprend les phases de préparation, détection, confinement, éradication, reprise et revue post-incident.
En anglais : Incident Response
Termes associés :SIEM, EDR, PCA +1 autres
Gestion des tiers
Processus d'identification, d'évaluation et de réduction des risques associés aux fournisseurs tiers ayant accès à vos données ou systèmes. Requis pour SOC 2 (CC9) et ISO 27001 (Relations fournisseurs).
En anglais : Vendor Risk Management
Termes associés :Sous-traitant, Contrat de sous-traitance, Analyse de risques +1 autres
Due diligence fournisseur
Processus d'investigation mené avant d'engager un fournisseur pour évaluer sa fiabilité, sa posture de sécurité, sa stabilité financière et son statut de conformité. Comprend l'examen des rapports SOC 2, des résultats de tests d'intrusion, des couvertures d'assurance et des références.
En anglais : Vendor Due Diligence
Termes associés :Gestion des tiers, Questionnaire de sécurité, SOC 2
Questionnaire de sécurité
Formulaires standardisés utilisés pour évaluer les pratiques de sécurité d'un fournisseur lors des achats. Formats courants : SIG (Standardized Information Gathering), CAIQ (Consensus Assessment Initiative Questionnaire) et questionnaires personnalisés.
En anglais : Security Questionnaires
Termes associés :Due diligence fournisseur, Gestion des tiers, SOC 2 +1 autres
Conformité continue
Approche automatisant la surveillance de la conformité plutôt que de traiter les audits comme des événements ponctuels. Utilise des intégrations pour collecter en continu les preuves, détecter les défaillances de contrôles et alerter les équipes sur les dérives de conformité.
En anglais : Continuous Compliance
Termes associés :Collecte de preuves, Référentiel de conformité, GRC +1 autres
Surveillance continue
Évaluation automatisée et permanente des mesures de sécurité et des configurations système pour détecter les écarts par rapport à l'état souhaité. Fournit une visibilité en temps réel sur votre posture de sécurité.
En anglais : Continuous Monitoring
Termes associés :Conformité continue, SIEM, Scan de vulnérabilités
Amélioration continue
Effort permanent pour améliorer les produits, services ou processus. Principe fondamental d'ISO 27001, exigeant que les organisations évaluent et améliorent régulièrement l'efficacité de leur SMSI.
En anglais : Continuous Improvement
Termes associés :ISO 27001, SMSI, Audit interne +1 autres
Action corrective
Mesure prise pour éliminer la cause d'une non-conformité détectée et empêcher sa récurrence. Requise par ISO 27001 et doit inclure l'analyse des causes profondes, les actions de correction, et la vérification de l'efficacité.
En anglais : Corrective Action
Termes associés :Non-conformité, Amélioration continue, ISO 27001 +1 autres
Politique de sécurité
Document de haut niveau définissant l'approche d'une organisation pour protéger ses systèmes d'information et ses données. Établit les objectifs de sécurité, les rôles et responsabilités, et les standards d'usage acceptable.
En anglais : Cybersecurity Policy
Termes associés :Politique de contrôle d'accès, Mesure de sécurité, SMSI +1 autres
Posture de sécurité
État global de sécurité d'une organisation, englobant ses politiques, mesures, tolérance au risque et capacité à se défendre contre les menaces et à y répondre. Une posture de sécurité solide nécessite une évaluation et une amélioration continues.
En anglais : Security Posture
Termes associés :Analyse de risques, Surveillance continue, Scan de vulnérabilités +1 autres

Autres Référentiels

9 termes

Référentiels de conformité et standards supplémentaires

Cyber Essentials
Schéma de certification cybersécurité soutenu par le gouvernement britannique avec 5 contrôles techniques : Pare-feu, Configuration sécurisée, Mises à jour de sécurité, Contrôle d'accès utilisateur et Protection contre les malwares. Requis pour de nombreux contrats gouvernementaux britanniques.
En anglais : Cyber Essentials
Termes associés :ISO 27001, Référentiel de conformité, Mesure de sécurité
Article disponible
PCI DSS
Payment Card Industry Data Security Standard. Standard de sécurité pour les organisations manipulant des données de cartes de crédit. Requis pour toute entreprise stockant, traitant ou transmettant des données de porteurs de cartes. 12 catégories d'exigences.
En anglais : PCI DSS
Termes associés :Référentiel de conformité, Chiffrement au repos, Chiffrement en transit +1 autres
HIPAA
Health Insurance Portability and Accountability Act. Législation américaine établissant des standards pour la protection des informations de santé sensibles des patients (PHI). S'applique aux prestataires de santé, régimes d'assurance santé et leurs partenaires commerciaux.
En anglais : HIPAA
Termes associés :Référentiel de conformité, SOC 2, HDS +1 autres
SOC 1
System and Organization Controls 1. Rapport d'audit centré sur les contrôles internes relatifs au reporting financier. Utilisé par les organisations de services dont les prestations affectent les états financiers de leurs clients. Différent de SOC 2 (contrôles de sécurité).
En anglais : SOC 1
Termes associés :SOC 2, SOC 3, AICPA
Article disponible
SOC 3
Version publiquement distribuable du rapport SOC 2. Contient l'opinion de l'auditeur mais moins de détails que le SOC 2. Utilisé à des fins marketing lorsque le rapport SOC 2 complet ne peut être partagé.
En anglais : SOC 3
Termes associés :SOC 2, SOC 1, AICPA
Article disponible
NIST Cybersecurity Framework
CSF (Cybersecurity Framework). Cadre volontaire développé par le National Institute of Standards and Technology américain fournissant des lignes directrices pour la gestion des risques cyber. Organisé autour de cinq fonctions : Identifier, Protéger, Détecter, Répondre et Récupérer.
En anglais : NIST Cybersecurity Framework (CSF)
Termes associés :Référentiel de conformité, Analyse de risques, Mesure de sécurité +1 autres
TISAX
Trusted Information Security Assessment Exchange. Standard d'évaluation de sécurité pour l'industrie automobile géré par l'association ENX. Requis par les grands constructeurs automobiles pour les fournisseurs manipulant des informations sensibles. Basé sur ISO 27001 avec des exigences spécifiques au secteur automobile.
En anglais : TISAX
Termes associés :ISO 27001, Référentiel de conformité, Due diligence fournisseur
CVE
Common Vulnerabilities and Exposures. Système d'identification standardisé pour les vulnérabilités de cybersécurité publiquement connues. Chaque identifiant CVE (ex : CVE-2021-44228 pour Log4Shell) identifie de manière unique une vulnérabilité.
En anglais : CVE (Common Vulnerabilities and Exposures)
Termes associés :Scan de vulnérabilités, Test d'intrusion, Gestion des vulnérabilités
Gestion des vulnérabilités
Processus systématique d'identification, d'évaluation, de priorisation et de remédiation des vulnérabilités de sécurité dans les systèmes et applications. Comprend le scan régulier, la priorisation basée sur le risque, la gestion des correctifs et la vérification.
En anglais : Technical Vulnerability Management
Termes associés :CVE, Scan de vulnérabilités, Test d'intrusion +1 autres

Pour aller plus loin

Qu'est-ce que SOC 2 ?

Guide complet sur la conformité SOC 2, incluant les coûts, délais et exigences.

Qu'est-ce qu'ISO 27001 ?

Tout sur la certification ISO 27001 et la mise en place d'un SMSI.

Qu'est-ce que le RGPD ?

Guide de conformité RGPD pour les startups, incluant les exigences clés.

Sécurité, pas seulement conformité

Accélérez votre certification

Découvrez pourquoi des centaines d'entreprises font confiance à Bastion pour piloter leur sécurité et simplifier leur conformité.

Commencer