Glossaire cyber et conformité
Des définitions claires et actionnables des termes clés de la cybersécurité, de la gestion du risque et de la conformité, avec les ressources FortaRisks pour aller plus loin.
Conformité et réglementation
- Conformité et réglementation
Analyse d'écart (gap analysis)
Une analyse d'écart, ou gap analysis, compare la situation actuelle d'une organisation à un référentiel ou objectif cible pour identifier les manques à combler. En cybersécurité et conformité, c'est le point de départ de tout programme : elle transforme une norme abstraite en une liste d'actions priorisées.
Lire la définition - Conformité et réglementation
DORA
DORA (Digital Operational Resilience Act) est le règlement européen qui impose au secteur financier une résilience opérationnelle numérique. Il harmonise la gestion du risque lié aux technologies, la notification des incidents, les tests de résilience et la surveillance des prestataires TIC critiques, avec application depuis janvier 2025.
Lire la définition - Conformité et réglementation
ISO 27001
ISO 27001 est la norme internationale de référence pour la mise en place d'un système de management de la sécurité de l'information (SMSI). Elle définit une approche par le risque, des exigences de gouvernance et un ensemble de mesures de sécurité, et permet une certification par un organisme accrédité.
Lire la définition - Conformité et réglementation
Loi 25
La Loi 25 est la loi québécoise qui modernise la protection des renseignements personnels. Elle impose aux organisations qui traitent des données de résidents du Québec des obligations strictes : consentement, transparence, gouvernance, notification des incidents de confidentialité et sanctions pouvant atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial.
Lire la définition - Conformité et réglementation
NIS2
NIS2 est la directive européenne de cybersécurité qui remplace la directive NIS de 2016. Elle élargit les secteurs couverts, renforce les obligations de gestion des risques, impose des délais de notification d'incident serrés et engage directement la responsabilité des dirigeants.
Lire la définition - Conformité et réglementation
NIST CSF 2.0
Le NIST Cybersecurity Framework (CSF) 2.0 est un cadre volontaire de gestion du risque cyber publié par l'agence américaine NIST. Il organise la cybersécurité en six fonctions (Gouverner, Identifier, Protéger, Détecter, Répondre, Rétablir) et sert de langage commun pour évaluer et piloter la maturité, quel que soit le secteur.
Lire la définition - Conformité et réglementation
RGPD
Le RGPD (Règlement général sur la protection des données) est le règlement européen qui encadre le traitement des données personnelles. Il impose des principes stricts (licéité, minimisation, transparence), des droits pour les personnes et des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Lire la définition - Conformité et réglementation
SOC 2
SOC 2 est un cadre d'audit nord-américain qui atteste de la maîtrise, par un prestataire de services, des données de ses clients. Il repose sur cinq critères de confiance (sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée) et donne lieu à un rapport d'audit indépendant de type I ou de type II.
Lire la définition
Risque tiers et chaîne d'approvisionnement
- Risque tiers et chaîne d'approvisionnement
SBOM (nomenclature logicielle)
Un SBOM (Software Bill of Materials) est l'inventaire complet et structuré des composants, bibliothèques et dépendances qui constituent un logiciel. Il fonctionne comme une liste d'ingrédients : sans lui, une organisation ne peut pas savoir rapidement si un composant vulnérable se cache dans ce qu'elle utilise.
Lire la définition - Risque tiers et chaîne d'approvisionnement
TPRM (gestion du risque tiers)
Le TPRM (Third-Party Risk Management) est la discipline qui consiste à identifier, évaluer et surveiller en continu les risques cyber, opérationnels, financiers et de conformité que font peser les fournisseurs, prestataires et partenaires d'une organisation. C'est aujourd'hui l'un des principaux vecteurs de brèche.
Lire la définition
Threat intelligence
- Threat intelligence
CISA KEV
Le CISA KEV (Known Exploited Vulnerabilities) est le catalogue public des vulnérabilités dont l'exploitation dans la nature est avérée, publié par l'agence américaine de cybersécurité CISA. Contrairement aux scores prédictifs, il ne liste que des failles réellement utilisées par des attaquants, ce qui en fait un signal de priorisation de premier ordre.
Lire la définition - Threat intelligence
CTI (cyber threat intelligence)
La CTI (Cyber Threat Intelligence) est la discipline qui collecte, analyse et transforme des données sur les menaces en renseignement actionnable. Elle éclaire les décisions à trois niveaux : stratégique (direction), opérationnel (campagnes et acteurs) et tactique (indicateurs et techniques), pour anticiper plutôt que subir.
Lire la définition - Threat intelligence
CVE
Une CVE (Common Vulnerabilities and Exposures) est l'identifiant public et unique attribué à une vulnérabilité de sécurité connue. Le système CVE, maintenu par MITRE et soutenu par la CISA, donne à chaque faille un nom commun (par exemple CVE-2024-3094) pour que tous les acteurs parlent de la même chose.
Lire la définition - Threat intelligence
CVSS
Le CVSS (Common Vulnerability Scoring System) est le standard ouvert qui attribue à une vulnérabilité une note de gravité de 0 à 10. Il décompose la sévérité en critères objectifs (vecteur d'attaque, complexité, impact) pour comparer les failles sur une échelle commune, indépendamment de l'éditeur.
Lire la définition - Threat intelligence
EPSS
L'EPSS (Exploit Prediction Scoring System) est un modèle qui estime la probabilité qu'une vulnérabilité soit exploitée dans les 30 jours. Exprimé de 0 à 100 %, il complète le CVSS en répondant non pas à « quelle gravité ? » mais à « quelle probabilité d'attaque réelle ? ».
Lire la définition - Threat intelligence
IOC (indicateur de compromission)
Un IOC (Indicator of Compromise) est un artefact technique observable qui trahit la présence probable d'une attaque : empreinte de fichier malveillant, adresse IP ou domaine suspect, URL, clé de registre. Les IOC alimentent la détection et la réponse à incident, mais restent des signaux volatils que les attaquants changent facilement.
Lire la définition - Threat intelligence
MITRE ATT&CK
MITRE ATT&CK est une base de connaissances publique qui répertorie les tactiques, techniques et procédures (TTP) réellement utilisées par les attaquants. Organisée en matrices, elle sert de langage commun pour décrire le comportement des adversaires, concevoir la détection et évaluer sa couverture défensive.
Lire la définition - Threat intelligence
STIX / TAXII
STIX et TAXII sont les standards ouverts du partage de threat intelligence. STIX est un langage structuré pour décrire les menaces (indicateurs, acteurs, campagnes et leurs relations) ; TAXII est le protocole qui transporte ces données entre systèmes. Ensemble, ils permettent d'échanger du renseignement cyber de machine à machine.
Lire la définition - Threat intelligence
Zero-day
Une vulnérabilité zero-day est une faille de sécurité inconnue de l'éditeur ou sans correctif disponible au moment où elle est exploitée. Les défenseurs ont zéro jour pour se préparer : l'attaque précède le correctif, ce qui en fait l'une des menaces les plus difficiles à contrer.
Lire la définition
Gouvernance et gestion du risque
- Gouvernance et gestion du risque
Analyse de risques
L'analyse de risques est le processus qui identifie les menaces pesant sur les actifs d'une organisation, évalue leur probabilité et leur impact, puis décide de leur traitement. C'est le cœur méthodologique de la gestion du risque et une exigence centrale de normes comme ISO 27001.
Lire la définition - Gouvernance et gestion du risque
Appétit au risque
L'appétit au risque est le niveau de risque qu'une organisation accepte de prendre pour atteindre ses objectifs. Défini par la direction, il sert de boussole : il indique quels risques réduire en priorité, lesquels tolérer, et cadre les décisions de sécurité pour éviter d'en faire trop ou trop peu.
Lire la définition - Gouvernance et gestion du risque
Cartographie des risques cyber
La cartographie des risques cyber est l'exercice qui identifie, évalue et hiérarchise les risques numériques d'une organisation en les reliant à ses actifs et à ses processus critiques. Elle transforme une menace diffuse en une vue priorisée, base de toute décision d'investissement en cybersécurité.
Lire la définition - Gouvernance et gestion du risque
Cyber-assurance
La cyber-assurance est un contrat qui couvre tout ou partie des conséquences financières d'un incident cyber : frais de réponse, pertes d'exploitation, extorsion, responsabilité envers des tiers. C'est un outil de transfert du risque, complémentaire mais jamais substitut aux mesures de sécurité.
Lire la définition - Gouvernance et gestion du risque
Modèle opérationnel de cybersécurité
Un modèle opérationnel de cybersécurité décrit comment une organisation structure et fait fonctionner sa sécurité au quotidien : rôles, responsabilités, processus, décisions et interactions. Il relie la stratégie de sécurité à son exécution concrète, pour que la cybersécurité fonctionne comme un système cohérent plutôt qu'une somme d'outils.
Lire la définition - Gouvernance et gestion du risque
Plan de continuité d'activité (PCA)
Un plan de continuité d'activité (PCA) est l'ensemble des procédures qui permettent à une organisation de maintenir ou de rétablir ses activités essentielles pendant et après une perturbation majeure. Il documente qui fait quoi, dans quel ordre et avec quels moyens, pour éviter l'improvisation en situation de crise.
Lire la définition - Gouvernance et gestion du risque
Résilience opérationnelle
La résilience opérationnelle est la capacité d'une organisation à continuer de fournir ses services essentiels malgré une perturbation grave : cyberattaque, panne, défaillance d'un fournisseur. Elle va au-delà de la reprise informatique en visant la continuité des fonctions critiques du point de vue du client.
Lire la définition - Gouvernance et gestion du risque
RTO / RPO
Le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective) sont les deux indicateurs clés d'un plan de reprise. Le RTO fixe le délai maximal acceptable pour rétablir un service ; le RPO fixe la quantité maximale de données que l'on accepte de perdre. Ensemble, ils dimensionnent la stratégie de continuité et de sauvegarde.
Lire la définition
Attaques et incidents
- Attaques et incidents
EASM (surface d'attaque externe)
L'EASM (External Attack Surface Management) est la découverte et la surveillance continues de tous les actifs exposés d'une organisation sur Internet : domaines, serveurs, services, API, actifs oubliés. Il adopte le point de vue de l'attaquant pour révéler ce qui est réellement visible et exploitable depuis l'extérieur.
Lire la définition - Attaques et incidents
EDR
L'EDR (Endpoint Detection and Response) est une technologie de sécurité qui surveille en continu les postes et serveurs pour détecter les comportements malveillants, alerter et permettre une réponse. Contrairement à l'antivirus classique fondé sur les signatures, il s'appuie sur l'analyse comportementale pour repérer les attaques inconnues.
Lire la définition - Attaques et incidents
Exfiltration de données
L'exfiltration de données est le transfert non autorisé d'informations hors des systèmes d'une organisation par un attaquant. C'est souvent l'objectif final d'une intrusion et le cœur des attaques modernes par double extorsion, où les données volées servent de levier de chantage.
Lire la définition - Attaques et incidents
Fraude au président (BEC)
La fraude au président, ou BEC (Business Email Compromise), est une escroquerie qui usurpe l'identité d'un dirigeant, d'un fournisseur ou d'un partenaire pour obtenir un virement frauduleux ou des informations sensibles. Sans logiciel malveillant, elle repose sur la manipulation et déjoue les défenses techniques classiques.
Lire la définition - Attaques et incidents
Hameçonnage (phishing)
L'hameçonnage est une attaque qui manipule une personne pour lui faire révéler des informations sensibles ou exécuter une action dangereuse, en se faisant passer pour un tiers de confiance. C'est le vecteur d'intrusion le plus répandu, désormais amplifié par l'intelligence artificielle.
Lire la définition - Attaques et incidents
Living off the land (LOLBins)
Le living off the land désigne une technique où l'attaquant utilise les outils légitimes déjà présents sur le système (PowerShell, WMI, utilitaires d'administration) plutôt que d'introduire son propre logiciel malveillant. En se fondant dans l'activité normale, il échappe aux défenses fondées sur la détection de fichiers malveillants.
Lire la définition - Attaques et incidents
Mouvement latéral
Le mouvement latéral désigne la phase où un attaquant, après avoir obtenu un premier accès, progresse à l'intérieur du réseau pour atteindre des systèmes et des données de plus grande valeur. C'est souvent l'étape qui transforme une intrusion isolée en compromission majeure.
Lire la définition - Attaques et incidents
Rançongiciel (ransomware)
Un rançongiciel est un logiciel malveillant qui chiffre les données d'une victime pour exiger une rançon en échange de leur restitution. Les campagnes modernes ajoutent souvent l'exfiltration et la menace de divulgation (double extorsion), ce qui en fait l'une des menaces les plus coûteuses pour les organisations.
Lire la définition
Voyez votre vrai risque en 30 minutes de démo.
Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.