45 termes essentiels expliqués en français clair, sans jargon. Chaque définition est reliée au service Scryptoura concerné quand cela aide à passer à l'action.
ANSSI, RGPD, NIS2, DORA, ISO 27001, OWASP, MITRE ATT&CK, Cybermalveillance.gouv.fr
Ransomware, phishing, spear phishing, ingénierie sociale, supply chain, MITM, XSS, CSRF, SQLi
EDR, XDR, SIEM, SOC, CSIRT, IOC, IOA, MTTD, MTTR, threat hunting
MFA, SSO, PAM, IAM, Zero Trust, ZTNA, JIT, moindre privilège, AD durci
VLAN, VPN, WPA3, 802.1X, pare-feu, segmentation, ACL, DMZ, WAF
RTO, RPO, 3-2-1, immuable, PRA, PCA, TLS, HSTS, CSP, hash & salt
Agence nationale de la sécurité des systèmes d'information. Autorité française de référence en cybersécurité, rattachée au Premier ministre. Publie le Guide d'hygiène informatique, base de toute démarche cyber sérieuse en France.
Pourquoi ça compte pour vous : les recommandations ANSSI sont citées par les assureurs cyber et les donneurs d'ordre. Notre démarche d'audit y fait correspondre vos pratiques.
Règlement Général sur la Protection des Données (UE 2016/679). Encadre toute collecte ou traitement de données personnelles, en vigueur depuis 2018. Le RGPD impose des mesures techniques et organisationnelles proportionnées au risque.
Pourquoi ça compte pour vous : en cas de violation, vous devez notifier la CNIL sous 72 heures. Voir notre page Conformité & Réglementation.
Directive européenne sur la sécurité des réseaux et systèmes d'information (2022/2555). Transposition française en cours. NIS2 s'applique directement aux entités essentielles et importantes, mais touche aussi indirectement les PME via la chaîne d'approvisionnement.
Pourquoi ça compte pour vous : si vous fournissez un service à une entité NIS2, on vous demandera des preuves de sécurité. Voir Conformité.
Digital Operational Resilience Act (UE 2022/2554). Règlement européen entré en application en janvier 2025, dédié au secteur financier. Impose la résilience opérationnelle numérique aux acteurs financiers et à leurs sous-traitants TIC.
Pourquoi ça compte pour vous : si vous travaillez avec une banque, un assureur ou une fintech, des audits TIC peuvent vous être demandés.
Norme internationale de management de la sécurité de l'information (SMSI). Certifiable. Adoptée par les grandes organisations, elle structure une démarche d'amélioration continue.
La 27002 décrit les contrôles de sécurité ; la 27005 traite l'analyse de risques.
Open Worldwide Application Security Project. Communauté ouverte qui publie le Top 10 des risques applicatifs (injections, contrôle d'accès cassé, etc.) et l'ASVS (référentiel d'audit applicatif).
Pourquoi ça compte : si vous avez un site métier, c'est sur quoi se base un pentest applicatif. Voir Développement web sécurisé.
Cartographie publique et internationale des tactiques, techniques et procédures (TTP) réellement utilisées par les attaquants. Mise à jour régulièrement par MITRE Corporation.
Pourquoi ça compte : Scryptoura structure chaque audit et pentest selon ATT&CK pour mesurer la couverture défensive contre des menaces réelles.
Plateforme publique d'assistance aux victimes d'incidents (particuliers, TPE, PME, collectivités). Édite chaque année un baromètre de référence sur l'état de la cybersécurité PME en France.
À retenir : en cas d'incident, c'est le bon réflexe en premier appel.
Commission Nationale de l'Informatique et des Libertés. Autorité de protection des données personnelles en France. Publie le Guide de la sécurité des données, complément technique du RGPD.
Logiciel malveillant qui chiffre les fichiers d'une organisation et exige une rançon (en cryptomonnaie) pour les déchiffrer. Première cause d'incident grave chez les PME françaises depuis 2020.
Comment s'en protéger : sauvegardes 3-2-1 immuables, segmentation réseau, EDR, MFA, mises à jour rigoureuses. Voir Audit cybersécurité.
Tentative d'usurpation d'identité par email, SMS ou message instantané pour tromper un collaborateur et lui faire cliquer un lien malveillant ou fournir un identifiant.
Vecteur d'entrée numéro un dans plus de 80 % des incidents. La sensibilisation est la première barrière, mais elle ne suffit pas : MFA, anti-spoofing email (SPF, DKIM, DMARC), et filtrage de pièces jointes.
Phishing ciblé, personnalisé pour une personne précise (souvent un dirigeant). Souvent précédé d'une phase de reconnaissance sur les réseaux sociaux et le site de l'entreprise.
Manipulation psychologique d'une personne pour qu'elle agisse contre ses intérêts (cliquer, transmettre un code, valider un virement). Le phishing en est une forme. La fraude au président aussi.
Compromission via un sous-traitant, un fournisseur logiciel ou un prestataire de service. Type d'attaque en forte hausse depuis 2020 (SolarWinds, Kaseya, etc.).
Pourquoi ça compte pour vous : votre prestataire IT a accès à votre infrastructure. Le Diagnostic Découverte évalue ce vecteur.
Attaque où l'attaquant s'interpose entre deux interlocuteurs pour intercepter ou modifier leurs échanges. Typique du Wi-Fi public non chiffré.
Injection de code JavaScript dans un site web vulnérable, exécuté dans le navigateur d'autres utilisateurs. Permet le vol de session, la défiguration ou le détournement d'actions.
Mitigation primaire : CSP, encodage de sortie, validation d'entrée.
Attaque qui force un utilisateur connecté à exécuter une action non désirée sur un site où il est authentifié, à son insu.
Injection de requête SQL malveillante via un formulaire mal protégé, permettant la lecture, la modification ou la destruction de la base de données.
Antivirus de nouvelle génération qui détecte les comportements suspects sur les postes et serveurs (pas seulement les signatures de fichiers connues).
Différence avec un antivirus classique : l'EDR détecte les attaques même quand le malware est inédit. Voir Remédiation & Sécurisation.
EDR étendu : corrèle les signaux des postes, du réseau, du cloud et de la messagerie pour détecter des attaques multi-vecteurs.
Plateforme qui centralise les journaux (logs) de toutes les sources d'une organisation et les corrèle pour détecter les anomalies.
Équipe humaine qui surveille en temps réel les alertes du SIEM/EDR et déclenche les réponses. Externalisé (MSSP) ou interne.
Computer Security Incident Response Team / Computer Emergency Response Team. Équipe de réponse aux incidents. En France : CERT-FR (ANSSI), CSIRT régionaux.
Indice technique d'une compromission : hash de fichier malveillant, IP de C2 (command & control), domaine, etc. Partagés entre équipes de défense.
Indicateur comportemental d'une attaque en cours, plus prédictif que l'IOC. Ex : une élévation de privilèges suspecte.
Mean Time To Detect : temps moyen entre l'intrusion et sa détection. Mean Time To Respond : temps moyen entre la détection et la remédiation. Indicateurs de performance d'une défense cyber.
Recherche proactive de menaces déjà présentes dans le système, sans s'appuyer sur des alertes. Activité d'équipe expérimentée.
Authentification reposant sur au moins deux facteurs : ce que vous savez (mot de passe), ce que vous avez (téléphone, clé), ce que vous êtes (biométrie).
Mesure prioritaire : bloque la majorité des attaques par mot de passe volé. Activez la MFA partout : messagerie, VPN, AD, M365, comptes admin.
Authentification unique : un seul login donne accès à plusieurs applications. Utile pour la productivité ; risqué si l'identité maître est compromise (d'où la MFA renforcée sur le SSO).
Discipline et outils qui gèrent l'identité numérique et les droits d'accès dans toute l'organisation. Inclut provisionnement, dé-provisionnement, revue d'accès.
Gestion spécifique des comptes à hauts privilèges (admin AD, root, comptes de service). Coffre-fort de mots de passe, rotation automatique, traçabilité.
Modèle de sécurité où aucun utilisateur ni équipement n'est considéré comme fiable par défaut, y compris à l'intérieur du réseau. Chaque requête est authentifiée et autorisée.
Antithèse du modèle "périmètre fort, intérieur ouvert" qui dominait avant 2015.
Mise en œuvre du Zero Trust pour l'accès distant. Remplace progressivement les VPN traditionnels.
Tout utilisateur, processus ou service ne reçoit que les droits strictement nécessaires à sa tâche. Limite l'impact d'une compromission.
Élévation de privilèges temporaire et auditée, accordée à la demande. Évite les comptes admin permanents.
Annuaire Microsoft qui centralise comptes et droits d'une organisation Windows. Cible privilégiée des attaquants. Le durcissement applique le modèle Tier (séparation poste utilisateur / admin / contrôleur de domaine), GPO restrictives, comptes de service dédiés.
Segmentation logique d'un réseau physique en plusieurs sous-réseaux étanches. Permet d'isoler le Wi-Fi invité du LAN, la VoIP de la bureautique, l'IoT du système d'information.
Tunnel chiffré entre un poste et un réseau distant. Permet le télétravail sécurisé. Doit être combiné à la MFA pour bloquer les attaques par identifiants volés.
Standard de chiffrement Wi-Fi de 3e génération (depuis 2018). Remplace WPA2. Apporte une protection contre le craquage de mots de passe par dictionnaire.
Norme d'authentification réseau : une prise ethernet murale n'autorise un appareil à se connecter qu'après authentification du poste et de l'utilisateur (typiquement via RADIUS).
Dispositif qui filtre le trafic réseau selon des règles. Les pare-feux nouvelle génération (NGFW) intègrent inspection applicative, IDS/IPS et filtrage URL.
Découpage du réseau en zones de confiance distinctes (DMZ, LAN, IoT, OT, sauvegarde). Limite la propagation d'une attaque.
Zone réseau intermédiaire entre Internet et le réseau interne, où sont placés les serveurs exposés (web, mail). Protège le LAN si la DMZ est compromise.
Pare-feu spécialisé dans la protection des applications web. Filtre les attaques applicatives (SQLi, XSS) avant qu'elles n'atteignent le serveur.
Liste de règles qui autorisent ou refusent l'accès à une ressource (port, fichier, dossier réseau). Granularité fine, à auditer régulièrement.
Durée maximale acceptable d'interruption d'un service après un incident. Combien de temps puis-je rester sans ? Définit le dimensionnement des sauvegardes et de la redondance.
Quantité maximale acceptable de données perdues lors d'un incident. Combien d'heures de travail puis-je perdre ? Définit la fréquence de sauvegarde.
Bonne pratique de sauvegarde : 3 copies de vos données, sur 2 supports différents, dont 1 hors site et déconnectée.
Et surtout : une sauvegarde non testée n'en est pas une. Voir Sauvegardes & restauration.
Sauvegarde verrouillée pour une durée déterminée : ni l'administrateur, ni un attaquant ayant volé ses identifiants ne peut la modifier ni la supprimer pendant cette période. Mesure de référence anti-ransomware.
Documentation et procédures à dérouler pour redémarrer le système d'information après un incident grave. Doit être testé régulièrement, sinon il ne fonctionnera pas le jour J.
Plus large que le PRA : couvre toute l'activité de l'organisation, pas seulement l'IT (locaux, équipes, partenaires).
Protocole de chiffrement des communications réseau. Successeur de SSL. Le https:// repose sur TLS. Versions actuelles : TLS 1.2 et 1.3.
En-tête HTTP qui force le navigateur à utiliser HTTPS pour toutes les connexions futures à un site. Bloque les attaques de rétrogradation TLS.
En-tête HTTP qui restreint les sources autorisées de scripts, styles, images, etc. Mesure majeure contre les XSS. Le site Scryptoura applique une CSP stricte sans 'unsafe-inline'.
Un hash est une empreinte cryptographique d'une donnée (mot de passe, fichier). Un salt est un complément aléatoire ajouté avant hachage pour empêcher les attaques par tables précalculées.
Key Management System / Hardware Security Module. Système qui stocke et gère les clés cryptographiques d'une organisation, idéalement dans un module matériel inviolable.
