SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow Glossaire
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formation
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Mardi 14 Février 2012
Advertisement

Glossaire


Tout | A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Autre


I

Il existe 142 éléments dans le lexique.
Pages: 1 2 3 4 5 6 »

Terme Définition
ICP
Infrastructure à clé publique  ou PKI :

Ensemble de composants, fonctions et procédures dédiés à la gestion de clés et de certificats.

Une ICP offre en général les services suivants : contrôle de validité de demandes de certificats, fabrication et signature de certificats, publication de certificats dans un annuaire, révocation de certificats, publication des révocations.

 
Identification
 Méthode permettant de limiter l'accès d'un service ou d'un système informatique à une seule personne physique.

Cette Méthode nécéssite de fournir au système un certain nombre d'éléments que seule la personne est censée connaitre : exemple couple Identifiant / Mot de passe. ou couple N° Carte / Code secret.

 
Identité
Caractéristiques d'un individu se connectant à un système d'information : état civil mais aussi ensemble des droits sur ce système.
La gestion d'identité est au coeur de la sécurité des systèmes d'information, elle conditionne la façon dont les acteurs de  l' entreprise interagissent en toute sécurité et construisent des relations de confiance avec les clients, partenaires, fournisseurs et employés.

elle concerne :

  • Le référencement global des personnes
  • La gestion automatisée des processus liés au cycle de vie des habilitations
  • l'Intégrité des données
  • La Confidentialité
  • La traçabilité
  • La conformité règlementaire (LSF, SOX, Bâle II)

 
IDS
Intrusion detection system :
Complément du pare-feu ou Firewall, l'IDS observe le réseau et envoie des alarmes à une console d'administration dès qu'il détecte des flux dangereux ou des tentatives d'intrusions dans le système d'information.

Cette "sonde" compare les trames reçues à des bases de signatures d'attaques ou par l'analyse comportementale.


 

 
IDS NIDS HIDS
Système de détection d’intrusion basé sur un équipement de type «sonde réseau» (ou «sonde système») permettant de détecter en temps réel

les tentatives d’intrusion sur un réseau (ou sur un système).

Terme générique faisant référence aux équipements ou logiciels chargés de détecter des intrusions. Les IDS permettent de garder une trace d’évènements anormaux, de signaler en temps réel des opérations jugées illégales

et même de réagir sur la base de signatures d’attaques ou l’analyse de comportements (heuristique). On distingue deux types d’IDS:

  • NIDS (Network Intrusion Detection Systems) pour les réseaux 
  • HIDS (Host-based Intrusion Detection Systems) pour les serveurs.
source Medef

 
IGC
 
Impact
L’impact est une évaluation globale de l’ensemble des conséquences d’un scénario de risques précis.

 
INCASMéthodologie de développement d’applications sécurisées classifiant les  données en fonction de l’impact qu’aurait un sinistre sur la disponibilité, l’intégrité ou la confidentialité de ces données ; acronyme de "intégration dans la conception des applications de la sécurité".
 
Information Sensible
Les informations sensibles sont celles dont la divulgation ou l'altération peut porter atteinte aux intérêts de l'État ou à ceux de l'organisme ou de l' entre-prise pour lequel un préjudice financier pourrait par exemple le (ou la)
conduire à la faillite. Il faut par conséquent, assurer principalement leur confidentialité et, assez souvent, répondre à un besoin important d'intégrité.

Les informations classées dans cette catégorie sont :

- d'une part, les informations relevant du secret de défense au sens de l'article 5 de l'[IGI 900] ; l'organisme ou l'entreprise est alors tenu(e) de respecter les règles de classification spécifiées dans la réglementation ; de plus, l’organisme ou l'entreprise a obligation de mettre en oeuvre les moyens pour être conforme à la réglementation ;

l'organisme ou l'entreprise est alors tenu(e) de respecter les règles de classification spécifiées dans la réglementation ; de plus, l’organisme ou l'entreprise a obligation de mettre en oeuvre les moyens pour être conforme à la réglementation ;
- d'autre part, les informations sensibles non classifiées de défense au sens de l'article 4 de la [REC 901], c'est-à-dire, celles liées à la mission ou au métier de l'organisme ou de l'entreprise (par exemple, au savoir-faire technologique ou au secret professionnel), celles relatives aux propositions commerciales ou bien encore aux renseignements sur l'état de la sécurité (par exemple, les résultats d'audits internes).

La classification retenue vise en premier lieu à donner à l’utilisateur une juste appréciation de la sensibilité des informations qu’il traite, puis à faciliter le contrôle et, par conséquent, à améliorer la protection des informations sensibles. Pour celles qui ne sont pas du ressort de l'[IGI 900] la

classification choisie doit être approuvée par l'organisme ou l'entreprise.

Source : SDSSI

 
Intégrité
L'information intègre na pas été altérée;
l’intégrité est assurée lorsque les données sont inchangées par rapport à leurs sources et qu'elles n'ont pas été modifiée ou détruites, accidentellement ou
malicieusement.
 
Intelligence économique
 L’intelligence économique se définit comme un ensemble d’actions coordonnées de recherche, de traitement, de distribution et de protection de l’information utile aux acteurs économiques et obtenue en toute légalité. Aussi appelée « veille stratégique », elle est devenue le nerf de la compétition économique que se livre les différentes entreprises. L’intelligence économique s’applique à différents domaines : la veille stratégique, la veille technologique, la veille concurrentielle, la veille commerciale, la veille brevet, la veille produit, la veille sociétale….


 
Internet
Réseau interconnectant la plupart des pays du monde. Fondé sur le protocole de communication TCP/IP indépendant du type de machine, du système d’exploitation et du support de transport physique utilisé. Internet fonctionne de manière décentralisée, et les routes empruntées par les paquets d’informations ne sont pas figées.

 
IP
Protocole Internet. Agissant au niveau 3 du modèle OSI, il traite des informations d’adressage et quelques fonctions de contrôle permettant aux paquets d’être routés. IP appartient à la suite de protocoles TCP/IP. IPv4 utilise des adresses de 32 bits, IPv6 utilise des adresses de 128 bits.

 
IP Spoofing
«Technique qui consiste à usurper l’identité d’un autre utilisateur du réseau, en utilisant son adresse IP, ce qui permet de faire croire que la connexion provient d’un compte d’utilisateur autorisé.

Lors d’une attaque par saturation, par exemple, l’adresse IP source des requêtes envoyées sera falsifiée pour éviter de localiser la provenance

de l’attaque. L’ordinateur d’où provient l’attaque n’est alors pas identifiable.»

 
IPS
Intrusion Prevention System :
Souvent intégré dans les pare-feu, ces systèmes permettent de bloquer en temps réel les attaques repèrées sur le réseau. Il complète les fonctions d'un IDS en introduisant une capacité de réaction afin de décharger les administrateurs.
 
IPSEc
IP Security Protocole

«Protocole de sécurisation des échanges sur réseau IP, par établissement de tunnels, authentification mutuelle et chiffrement des données. IPsec fait appel à deux mécanismes de sécurité pour le trafic IP : les mécanismes AH  (Authentication Header) et ESP (Encapsulating Security Payload).

L’AH est un en-tête conçu pour assurer l’intégrité et l’authentification des datagrammes IP sans chiffrement des données. Son but est d’ajouter aux datagrammes IP classiques un champ supplémentaire permettant, lorsqu’ils

arrivent à destination, de vérifier l’authenticité des données incluses dans le datagramme.

L’ESP a, quant à lui, pour objectif d’assurer la confidentialité des données. Il peut aussi être utilisé pour garantir leur authenticité. À partir d’un datagramme IP, l’ESP génère un nouveau datagramme dans lequel les données - et éventuellement l’en-tête original - sont chiffrés. AH et ESP utilisent tous les deux un certain nombre de paramètres (algorithmes de chiffrement, clés, mécanismes sélectionnés…) sur lesquels les équipements doivent s’entendre

afin d’être sûrs de pouvoir communiquer. Ces paramètres sont gérés grâce à la Security Association (SA), une base de données où sont stockées les informations décrivant l’ensemble des paramètres associés à une communication donnée. Cette base de données contient donc la clé utilisée pour le cryptage des données.

IPsec spécifie en outre une méthodologie pour la gestion des clés : il s’agit de l’Internet Key Exchange (IKE). Cette méthodologie décrit une série d’étapes afin de définir les clés utilisées pour l’encryption et pour le décryptage des données. Il s’agit en fait de définir un langage commun afin que les deux parties puissent

s’entendre. «

 
ISO 17799
 La Norme ISO 17799 (V 2005) définit un code de bonnes pratiques pour la Gestion de la sécurité de l'information. C'est un recueil de recommandations qui décrit les meilleures pratiques en matière de sécurité de l'information autour de 11 domaines, 36 Objectifs de sécurité, 127 points de contrôles.

Elle ne fournit aucune solution d'évaluation des risques.

Les domaines couverts sont :

  1.  -Politique de sécurité;
  2. - Structure et Organisation  de gestion de la sécurité;
  3. - Classification et contrôle des actifs;
  4. - Sécurité des ressources humaines;
  5. - Sécurité physique et sécurité de l’environnement;
  6. - Exploitation et réseaux;
  7. - Contrôle des accès;
  8. - Développement (acquisition, traitement) et maintenance des systèmes;
  9. - Gestion de crise et d'incidents;
  10. - Continuité de service;
  11. - Conformité aux lois et règlements.
En France, l'ISO 17788 n'est associée à aucun système de certification. Il est cependant probable que l'évolution vers l'ISO27000 sera associée à un système de certification de la sécurité des SI.

 
ISO 27000
L' ISO a réservé la serie ISO/IEC 27000 pour une plage de normes dédiée au pilotage de la sécurité de l'information, dans un esprit similaire à la série ISO 9000 consacrée aux satards de la qualité.

Cette démarche met clairement en perspective qu'il sera rapidement nécessaire d'être certifié  ISO 27000 pour assurer à un réseau de partenaires ou à ses clients et actionnaires une forte attention à la problématique de la sécurité des information dans l'entreprise.

L'ISO a déjà planifié la réservation de la série suivante :
  • ISO 27000 - vocabulaire et définitions (terminologie pour l'ensemble des standards)
  • ISO 27001 - Publié en Octobre 2005 c'est le standard principale décrivant les exigences d'un système de pilotage de la sécurité des informations, basé sur le dernier standard BS 7799 Part 2 de 2002.
    Ce sera la base des règles de certification ISO27000.
  • ISO 27002 (connu jusqu'alors sous le terme  ISO 17799) - C'est le code des bonnes pratiques décrivant un ensemble cohérent d'objectifs de contrôles de la sécurité basésur 11 Chapitres principaux. la dernière version de l'ISO 17799 a été publiée en juin 2005.
  • ISO 27003 - contiendra un guide de mise en oeuvre.
  • ISO 27004 - proposera une base de métriques de sécurité et d'indicateurs de pilotage permettant de mesurer l'efficacité de la mise en oeuvre de la poilitique de sécurité.
  • ISO 27005 - sera la suite du projet BS 7799 Part3 non encore publié et consacré à un nouveau standard de l'approche de gestion des risques (Méhari™ like ?)
  • ISO 27006 - probablement consacré à une série de recommandations concernant les plans de reprise d'activité.
 


Tout | A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Autre


Glossary V1.8
Copyright 2005-2012 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.