| EBIOS | «Méthode d’analyse des risques en SSI permettant de rédiger différentes formes de cahier des charges SSI ( FEROS, profils de protection...) et de contribuer à l’élaboration du référentiel SSI d’un organisme (schéma directeur SSI, politique de sécurité des systèmes d’information, tableaux de bord SSI...). Elle constitue un outil indispensable à la gestion des risques SSI. La méthode EBIOS se décompose en 4 étapes :
- l’étude du contexte
- l’expression des besoins de sécurité
- l’étude des risques
- l’identification des objectifs de sécurité «
|
| | |
| Enjeux | Ce que l'on veut protéger.
Ce que l’on peut gagner ou perdre dans une entreprise, un domaine d’activité ou un projet. L’enjeu peut être financier, commercial, organisationnel, technique… (exemples : gains financiers, améliorations de l’image de marque, remplir les obligations de service public, accroissement des avances technologiques…)
|
| | |
| Exigence de sécurité | Expression de besoins de sécurité et de contrôle associés à une information ou à une ressource.
Elles sont spécifiées en terme de : confidentialité, intégrité, disponibilité, imputabilité, nonrépudiation et de contrôle d’accès.
|
| | |
| Exploit | Exploitation suite à une publication sur internet d' une faille de sécurité dans un logiciel ou un système par des pirates, avant qu'une parade ne soit publiée par l'éditeur.
Il ne sagit pas d'un exploit !
|
| | |
| Faux négatif | On désigne par ce terme l’absence de détection d’une vulnérabilité ou le non déclenchement d’une alerte d’intrusion. L’IDS ou l’outil de détection de vulnérabilités idéal ne devrait jamais créer de faux négatifs. En cas de doute,
on préfère obtenir un faux positif qui réclamera une investigation plus poussée, même si elle est inutile.
|
| | |
| Faux positif | On désigne par ce terme une alerte d’intrusion ou la détection d’une vulnérabilité non avérée.
La génération de faux positifs par les IDS ou les outils de contrôle de failles est inévitable. Pour diminuer leur pourcentage, on recommande de corréler les informations obtenues par différentes sources.
|
| | |
| Firewall | Système ou logiciel destiné à contrôler, par filtre de paquets (packet filter) ou par relayapplicatif (proxy) le trafic circulant sur un ou plusieurs réseaux
Il protège un réseau interne vis-à-vis de l’extérieur et interdit le trafic non autorisé de l’intérieur vers l’extérieur. Il assure les fonctions de passerelles applicatives (proxy), d’authentification des appels entrants, d’audit et enregistrement de
ces appels (log).
|
| | |
| Fonction de sécurité | Mesure technique, susceptible de satisfaire un objectif de sécurité.
|
| | |
| Forensics [Computing] | Investigation informatique :
Utilisation de techniques spécialisées dans la collecte, l'identification, la description, la sécurisation, l'extraction, l'authentification, l'analyse, l'interprétation et l'explication de l'utilisation de l'information numérique dans un but d'investigation criminelle, ou d'infraction au droit relatif à l'usage de l'informatique.
inspiré librement de la source Wikipedia.
|
| | |
| Gravité (du Risque | Gravité du Risque = Potentialité*Impact |
| | |
| Hoax | Canulars : ils prétendent décrire un virus extrêmement dangereux, ils utilisent un langage pseudo-technique pour rendre impressionnant les faits relatés, ils prétendent que le rapport a été issu ou confirmé par une entreprise bien
connue, ils demandent de faire suivre cette alerte à tous vos amis et collègues.
|
| | |
| Honey Pot | De façon littérale : «Pot de miel». Dans le domaine de la sécurité informatique, par boutade, c’est ainsi que l’on désigne un serveur chargé d’attirer des pirates dans le but d’étudier leurs méthodes d’attaques. La machine qui sert de leure doit être suffisamment attractive pour éveiller l’intérêt mais elle ne doit receler aucune information confidentielle réelle !
|
| | |
| ICP | Infrastructure à clé publique ou PKI :
Ensemble de composants, fonctions et procédures dédiés à la gestion de clés et de certificats.
Une ICP offre en général les services suivants : contrôle de validité de demandes de certificats, fabrication et signature de certificats, publication de certificats dans un annuaire, révocation de certificats, publication des révocations.
|
| | |
| Identification | Méthode permettant de limiter l'accès d'un service ou d'un système informatique à une seule personne physique.
Cette Méthode nécéssite de fournir au système un certain nombre d'éléments que seule la personne est censée connaitre : exemple couple Identifiant / Mot de passe. ou couple N° Carte / Code secret.
|
| | |
| Identité | Caractéristiques d'un individu se connectant à un système d'information : état civil mais aussi ensemble des droits sur ce système.
La gestion d'identité est au coeur de la sécurité des systèmes d'information, elle conditionne la façon dont les acteurs de l' entreprise interagissent en toute sécurité et construisent des relations de confiance avec les clients, partenaires, fournisseurs et employés.
elle concerne :
- Le référencement global des personnes
- La gestion automatisée des processus liés au cycle de vie des habilitations
- l'Intégrité des données
- La Confidentialité
- La traçabilité
- La conformité règlementaire (LSF, SOX, Bâle II)
|
| | |
| IDS | Intrusion detection system :
Complément du pare-feu ou Firewall, l'IDS observe le réseau et envoie des alarmes à une console d'administration dès qu'il détecte des flux dangereux ou des tentatives d'intrusions dans le système d'information.
Cette "sonde" compare les trames reçues à des bases de signatures d'attaques ou par l'analyse comportementale.
|
| | |
| IDS NIDS HIDS | Système de détection d’intrusion basé sur un équipement de type «sonde réseau» (ou «sonde système») permettant de détecter en temps réel
les tentatives d’intrusion sur un réseau (ou sur un système).
Terme générique faisant référence aux équipements ou logiciels chargés de détecter des intrusions. Les IDS permettent de garder une trace d’évènements anormaux, de signaler en temps réel des opérations jugées illégales
et même de réagir sur la base de signatures d’attaques ou l’analyse de comportements (heuristique). On distingue deux types d’IDS:
source Medef
|
| | |
| IGC | |
| | |
| Impact | L’impact est une évaluation globale de l’ensemble des conséquences d’un scénario de risques précis.
|
| | |
| INCAS | Méthodologie de développement d’applications sécurisées classifiant les données en fonction de l’impact qu’aurait un sinistre sur la disponibilité, l’intégrité ou la confidentialité de ces données ; acronyme de "intégration dans la conception des applications de la sécurité". |
| | |
| Information Sensible | Les informations sensibles sont celles dont la divulgation ou l'altération peut porter atteinte aux intérêts de l'État ou à ceux de l'organisme ou de l' entre-prise pour lequel un préjudice financier pourrait par exemple le (ou la) conduire à la faillite. Il faut par conséquent, assurer principalement leur confidentialité et, assez souvent, répondre à un besoin important d'intégrité. Les informations classées dans cette catégorie sont : - d'une part, les informations relevant du secret de défense au sens de l'article 5 de l'[IGI 900] ; l'organisme ou l'entreprise est alors tenu(e) de respecter les règles de classification spécifiées dans la réglementation ; de plus, l’organisme ou l'entreprise a obligation de mettre en oeuvre les moyens pour être conforme à la réglementation ; l'organisme ou l'entreprise est alors tenu(e) de respecter les règles de classification spécifiées dans la réglementation ; de plus, l’organisme ou l'entreprise a obligation de mettre en oeuvre les moyens pour être conforme à la réglementation ; - d'autre part, les informations sensibles non classifiées de défense au sens de l'article 4 de la [REC 901], c'est-à-dire, celles liées à la mission ou au métier de l'organisme ou de l'entreprise (par exemple, au savoir-faire technologique ou au secret professionnel), celles relatives aux propositions commerciales ou bien encore aux renseignements sur l'état de la sécurité (par exemple, les résultats d'audits internes).
La classification retenue vise en premier lieu à donner à l’utilisateur une juste appréciation de la sensibilité des informations qu’il traite, puis à faciliter le contrôle et, par conséquent, à améliorer la protection des informations sensibles. Pour celles qui ne sont pas du ressort de l'[IGI 900] la
classification choisie doit être approuvée par l'organisme ou l'entreprise.
Source : SDSSI
|
| | |
| Intégrité | L'information intègre na pas été altérée;
l’intégrité est assurée lorsque les données sont inchangées par rapport à leurs sources et qu'elles n'ont pas été modifiée ou détruites, accidentellement ou
malicieusement. |
| | |
| Intelligence économique | L’intelligence économique se définit comme un ensemble d’actions coordonnées de recherche, de traitement, de distribution et de protection de l’information utile aux acteurs économiques et obtenue en toute légalité. Aussi appelée « veille stratégique », elle est devenue le nerf de la compétition économique que se livre les différentes entreprises. L’intelligence économique s’applique à différents domaines : la veille stratégique, la veille technologique, la veille concurrentielle, la veille commerciale, la veille brevet, la veille produit, la veille sociétale….
|
| | |
| Internet | Réseau interconnectant la plupart des pays du monde. Fondé sur le protocole de communication TCP/IP indépendant du type de machine, du système d’exploitation et du support de transport physique utilisé. Internet fonctionne de manière décentralisée, et les routes empruntées par les paquets d’informations ne sont pas figées.
|
| | |
| IP | Protocole Internet. Agissant au niveau 3 du modèle OSI, il traite des informations d’adressage et quelques fonctions de contrôle permettant aux paquets d’être routés. IP appartient à la suite de protocoles TCP/IP. IPv4 utilise des adresses de 32 bits, IPv6 utilise des adresses de 128 bits.
|
| | |
Glossaire
