SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement

Glossaire


Tout | A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Autre


Tout

Il existe 142 éléments dans le lexique.
Pages: «1 2 3 4 5 6 »

Terme Définition
Passerelle de sécurité
«Une passerelle de sécurité est un système intermédiaire (par exemple un routeur ou un firewall) qui agit comme interface de communication entre un réseau externe considéré comme non fiable et un réseau interne de confiance. Elle fournit, pour les communications traversant le réseau non fiable, un certain nombre de services de sécurité.

Dans IPsec, une passerelle de sécurité est un équipement sur lequel sont implémentés AH et/ou ESP de façon à fournir des services de sécurité aux hôtes du réseau interne lorsqu’ils communiquent avec des hôtes externes utilisant aussi IPsec (soit directement soit par l’intermédiaire d’une autre passerelle de

sécurité).»

 
PHISHING
Password harvesting fishing : La pêche aux mots de passe en anglais, "hameçonnage" en Français.

Cette technique de piratage consiste à se faire passer pour une autorité afin d'obtenir une information confidentielle auprès d'un détenteur légitime.

La plupart des cas viennent d'une simulation du serveur de la banque ou du système de paiement habituel du détenteur lui demandant une confirmatin de ses codes de cartes de crédit.

Les sites ne sont que des leurres généralement très bien imités déroutant l'information via des serveurs internédiaires piratés vers le système du pirate.

 
Pirate ou Craker
«Terme générique employé pour désigner celui qui craque ou attente à l’intégrité d’un système informatique, de la simple duplication de données à l’accès aux ressources d’un centre de calcul (vol, pillage de programmes, de fichiers, ...)

Les pirates ont l’habitude d’être classés en 3 groupes :

1- les white Hat qui oeuvrent pour une diffusion de l’information sur les vulnérabilités du web (le full disclosure) et la prévention des risques informatiques ;

2- les black Hat qui oeuvrent à la mise au point d’applications permettant d’exploiter les vulnérabilités du web, mais ne soumettent généralement pas leur découverte au «»public»» (no-disclosure) ;

3- les grey Hat qui se situent à mi-chemin entre white et black hat.»

source : Medef

 
PKI
Public Keys Infrastructures :

Structure de sécurité de communication reposant sur l'attribution d'une paire de clés de cryptage par interlocuteur afin d'assurer l'identification, l'authentification des interlcuteurs et de garantir la confidentialité et l'intégrité des messages echangés.

La clé publique est diffusée alors que la clé privée est gardée secrète et conservée par chaque titulaire sur son poste ou stockée sur disque, carte ou clé USB.

Chaque mesage chiffré par l'une n'est déchiffrable qu'avec l'autre.

L'identité du titulaire d'une clé publique peut-être certifiée par une autorité de certification. La clé est alors signée par la propre clé de cette autorité dans un certificat de signature électronique

 
Plan de continuité d'activité
Ensemble des mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestatations de services essentielles de l'entreprise puis la reprise planifiée des activités.

Source : Arrêté du 31 Mars 2005 modifiant le CRBF N° 97_02 du 21 Février 1997

Le Plan de continuité d'activité ou BCP pour Business Contengency Plan en anglais, doit garantir la survie de l'entreprise en préparant à l'avance la continuité des activités désignées comme stratégiques. Il n'est pas limité au Plan de Secours Informatique.


Source : CLUSIF

 
Politique de sécurité
La Politique de Sécurité des Systèmes d'Information est l'ensemble formalisé dans un document applicable, des directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information de l'entreprise. (source : DCSSI)

La politique de sécurité est plus largement une démarche de mise en oeuvre d'un système de gestion de la sécurité dont les principales étapes sont :

  • Définition du champs d'application
  • Analyse des enjeux
  • Analyse des vulnérabilités
  • Choix des solutions de sécurité
  • Rédaction de la politique de sécurité
  • Mise en oeuvre de la politique de sécurité
  • Pilotage de la politique de sécurité
  • Audit de la politique de sécurité
  • Amélioration de la politique de sécurité.
 
Porte dérobée
ou Backdoor :

Programme généralement activé dans des intentions malicieuses par un Cheval de Troie, visant à détourner les fonctionnalités d'un service système en ouvrant par exemple des canaux d'accès masqués.

 
Potentialité 
La potentialité est une estimation de la possibilité qu’un scénario de risque précis survienne.

 
Pourriel
Nom générique - contraction de «poubelle» et de «courriel» - désignant les courriers électroniques inopportuns voire intempestifs qui finissent à la poubelle dès réception. D’après l’OQLF, le pourriel comprend les courriels envoyés par spamming (essentiellement les publicités sauvages) et par mailbombing (notamment les messages infectés par certains virus capables de s’envoyer en plusieurs dizaines d’exemplaires aux mêmes internautes en un temps réduit). On peut également y ajouter les hoax, ces «canulars du web» qui devraient constituer la prochaine bête noire des internautes. Pourriel est utilisé comme synonyme français de spam quelque peu abusivement.

Source : Medef

 
PPP
Point to Point Protocol :

Protocole d'identification à distance (RTC) permettant l'identification des personnes sur le réseau Internet.

 
PRN
Random Number :

Code numérique défini dynamiquement (par exemple, changeant à fréquence fixe). Le PRN est habituellement associé à un PIN pour fournir un code d’accès hautement sécurisé.

 
Provisionning
Processus automatisé de gestion des informations relatives à l'identifiaction et aux droits d'accès aux diverses applications attribués en fonction du rôle des acteurs (internes ou partenaires) de l'entreprise :

Via un système de workflow automatisant les aspects administratifs, les systèmes de provisionning répercutent logiquement dans l'ensemble des annuaires de l'entreprise les mises à jour relatives à :

  • L'arrivée d'un employé, ou d'un acteur de type sous-traitant par exemple;
  • La modification des statuts et des habilitations d'un employé
  • La sortie de l'employé quittant l'entreprise.
Les techniques de provisionning les plus élaborées s'appuient sur des solutions de  "virtualisation" des annuaires simplifiant la phase d'alimentation initiale des informations d'identifiaction/authentification déjà existentes dans l'entreprise et n'obligent pas à un interfaçage "intrusif" des diverses applications.

 
Proxy
Service qui partitionne la communication entre le client et le serveur en établissant un circuit entre le client et le firewall, et un deuxième entre

ce dernier et le serveur (Internet).

Un proxy applicatif est un type de firewall laissant passer des données
d’applications spécifiques selon des règles de filtrage définis.

 
RADIUS
Protocole d'authentification standard : (Remote Authentification Dial-In User Service).

RFC 2130, RFC 2865, RFC 2866.

Il repose sur un serveur RADIUS diposant d'une base d'identification (Base ou annuaire LDAP) et sur un client RADIUS (dénommé NAS = Network Access Server) intermédiaire entre l'utilisateur et le serveur RADIUS.

Utilisateur --> NAS --->Serveur RADIUS<---------------->LDAP

                <----------------REJECT

                <----------------CHALLENGE

                <----------------CHANGE PASSWORD

                <----------------ACCEPT-------------------------->LDAP

                <----------------Retour des Autorisations<------LDAP

 
Rejeu
Attaque contre un système cryptographique, consistant à stocker et réutiliser ultérieurement un message en plus d’un autre ou à la place d’un autre.

Action consistant à envoyer un message intercepté précédemment, en espérant qu’il sera accepté comme valide par le destinataire.

 
Reverse Proxy
Logiciel et par extension serveur sur lequel s'execute ce logiciel :

«Il sert de relais à un client qui souhaite se connecter à un serveur distant afin de protéger son propre serveur contre les attaques externes. De l’extérieur on voit l’adresse IP du relais inverse mais pas celui du serveur.

Il sert d’accélérateur (server accelerator) et peut faire de l’équilibrage de charge (load balancing).»

 
RFC
Request for Comments :

Littéralement, «Appel à commentaires».

C’est en fait un document décrivant un des aspects d’Internet de façon relativement formelle (généralement,  spécification d’un protocole).

La plupart des technologies Internet ont été définies dans des RFC, mais on y trouve aussi de recommandations d'organisation par exemple.

Ces documents sont destinés à être diffusés à grande échelle dans la communauté Internet et servent souvent de référence. On peut les trouver sur la plupart des sites FTP.

 
RisqueDanger plus ou moins probable émanant d'une menace et résultant d'une vulnérabilité et affectant des enjeux.
 
Risque résiduel
Risque subsistant après le traitement du risque.

 
Routeur
Equipement de niveau 3 OSI chargé de trouver le meilleur chemin à prendre pour atteindre une autre machine, par exemple dans un réseau IP.

Chaque paquet de données reçu par le routeur est ainsi transmis au noeud suivant approprié pour suivre son chemin vers la machine visée.

 
Routeur filtrant
Routeur pourvu de fonctions de filtrage de niveau 4 sur les ports TCP/UDP de destination.

 
RPO
Recovery Point Objective :

Degré de fraicheur des données, correspond à la perte de données potentielle entre la date de la dernière sauvegarde de recours et la date d'un éventuel sinistre.

Fournie comme contrainte utilisateur lors du BIA, cette donnée va qualifier et souvent remettre en cause le plan de sauvergarde.

 
RSA
Système de chiffrement asymétrique à clé publique dont le nom est constitué par les initiales de ses inventeurs : Rivest, Chamir, Adleman.

 
RTO
Recovery Time Objectve:

Délais entre un sinistre et la remise à disposition de l'informatique aux utilisateurs.

Recueilli auprès des utilisateurs lors du BIA.

Ce temps est très souvent sous-estimé, notament dans les solutions de backup mutualisés ou le cumul entre libération des ressources + redémarrages + rattrapages dépasse rapidement les 72 Heures.

Seul un test grandeur nature des solutions de secours permettra de valider ce temps.

Aussi appelé MAD : Maximum Allowable Downtime.

 
Scellement
Mécanisme de sécurité permettant d’assurer l’intégrité et l’authentification de l’origine des données.

 


Tout | A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Autre


Glossary V1.8
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.