SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement

Glossaire


Tout | A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Autre


Tout

Il existe 142 éléments dans le lexique.
Pages: «1 2 3 4 5 6

Terme Définition
Schéma Directeur SSI
Le schéma directeur SSI  exprime la stratégie de l'entreprise en matière de SSI, pour concevoir, construire et mettre en oeuvre des systèmes d'information sécurisés, afin de répondre aux missions et aux objectifs de l'entreprise.

(source : SDSSI)

Le schéma directeur doit exposer la stratégie SSI (Domaine, cible choix, enjeux)et comporter un volet opérationnel avec un plan d'action décrivant les étapes de mise en oeuvre de la SSI. Il doit aussi comporter un volet de contrôle pour permettre de mesurer l'effort d'intégration et de conformité à la norme de la SSI.

 
SecureID
Produit commercial de Security Dynamics, largement diffusé dans le monde, se

présentant sous la forme d’une «calculette» au format carte de crédit, permettant de sécuriser un login.

Son principe est de combiner l’heure à un mot de passe pour générer un mot de

passe dynamique valide pendant seulement 60 secondes. Ce dernier est  ensuite vérifié et traîté par un serveur d’accès dédié.

 
Signature d'attaque
«Signature servant à identifier en temps réel une tentative d’attaque sur un réseau, qui, une fois reconnue par le système de détection  d’intrusion, fonctionne comme un coupe-feu et permet de bloquer les accès non autorisés au serveur.

On peut classer les outils de détection d’intrusion selon deux modes de fonctionnement : l’un se basant sur les signatures d’attaques et l’autre sur

les anomalies du système (analyse heuristique).

Un système de détection d’intrusion ne peut détecter que les attaques dont il possède la signature. De ce fait, il est nécessaire de faire des mises à jour quotidiennes. Ainsi, le système de détection est aussi bon que l’est la base de

signatures. Si les signatures d’attaques sont erronées ou incorrectement conçues, l’ensemble du système est inefficace.

Il est possible, à l’aide d’un assistant de définition de signature d’attaque personnalisée, de construire ses propres signatures d’attaques pour protéger les applications ou les environnements internes et ainsi en réduire la

vulnérabilité.»

Source :Medef

 
Signature électronique
L'article 1316-4 du Code Civil donne la même force probante à une signature, qu'elle ait été réalisée électroniquement ou à l'aide d'un stylo. La signature électronique repose sur des certificats numériques, clés publiques dont le titulaire a fait certifier son identité par un tiers de confiance, l'autorité de certification. Le certificat est utilisé, combiné à une empreinte numérique du document, pour signer celui-ci. L'empeinte garantit l'intégrité, le certificat l'identité du signataire.

La norme la plus courante est X.509. Un certificat suppose donc d'interroger l'autorité qui l'a délivré pour vérifier sa validité. La création et la gestion d'un certificat se réalisent grâce à trois intervenants qui peuvent parfois être confondus.
  • L'autorité de certification (AC) décide des règles de délivrance et de gestion des certificats réalisés sous son autorité.
  • L'autorité d'enregistrement (AE) execute ces règles en délivrant effectivement les certificats aux titulaires.
  • L'opérateur de certification (OC) fournit l'infrastructure matérielle et logicielle requise.

L' horodatage de la signature complète la valeur juridique du document, il est réalisé par le tiers de confiance.

Source LMI N°1095 16/12/2005
 
SLA
Service Level Agreement :

Engagements de la part du fournisseur sur la qualité du service fourni.

Ils déterminent le niveau d’indemnisation du client en cas de non atteinte d’un niveau minimum de disponibilité de service.

 
Social engineering
Pratique consistant à abuser de la confiance d’un ou de plusieurs personnes, dans le but de récupérer des informations confidentielles :

le social engineering ou comment se servir de la faille humaine pour obtenir des codes confidentiels, des informations sensibles, des numéros de modems de télémaintenance, etc.

On se reportera pour plus d'information au livre de Kevin D. Mitnick : L'art de l'intrusion Campus press 312p.

 
Spam
Message intempestif et non sollicité envoyé à une personne ou à un groupe de personnes lors d’une opération de spamming.

 
Spaming
«Le spamming consiste en des pratiques de multipostage abusif : Excessive Multi-Posting (EMP), Excessive Cross Posting (ECP); mais peut aussi correspondre à une indexation abusive dans les moteurs de recherche. On

parle alors de spamdexing ou encore d’engine spamming.

L’envoi en nombre de messages électroniques est qualifié de spamming en référence au caractère non sollicité du message. Celui-ci comporte le plus souvent un objet publicitaire qui transforme l’envoi en un message promotionnel non sollicité par son destinataire.

Le second critère de définition du spamming en matière de courrier électronique réside dans le transfert de charges qu’il occasionne au détriment du destinataire (cost-shifting). Cette situation est analogue à celle rencontrée avec l’envoi de fax à des fins commerciales.

Cette pratique a été depuis lors interdite dans de nombreux pays ou bien soumise au consentement préalable (opt-in) des personnes visées comme

l’a notamment imposée la directive européenne 97/66 du 15 décembre 1997 (article12 alinéa 1er et 2). «

 
Spyware
logiciel exécuté sur un ordinateur à l’insu de son propriétaire, et conçu dans le but de collecter des données personnelles (adresse IP, URL

consultées, mots de passe, numéros de cartes de crédit,…) et de les renvoyer à son concepteur via internet, sans autorisation préalable dudit utilisateur.

Un spyware (ou espiogiciel, mouchard) est un logiciel espion contenant un programme qui, par Internet, peut recueillir et transmettre les données personnelles d’un internaute à une régie publicitaire, notamment sur ses

intérêts, ses habitudes de téléchargement et de navigation. Tout cela dans un but exclusivement commercial

Ces mouchards présents dans de nombreux logiciels gratuits (freewares) ou en version de démonstration (sharewares) s’installent lors du téléchargement et ne sont pas détectables par l’utilisateur.

Voir AntiSpyware.

 
SSL
Secure Socket Layer (SSL) est un protocole de sécurisation des échanges sur Internet, développé à l'origine par  Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF qui a permis la création de la RFC 2246.

SSL fonctionne suivant un mode client-serveur. Il fournit quatre objectifs de sécurité :

  • l'authentificatin du serveur;
  • la Confidentialité des données échangées (ou session  chiffrée);
  • l'intégrité des données échangées
  • de manière optionnelle, l'authentification du client.
 Le chiffrement est réalisé par à la fois un chiffrement asymétrique (qui va permettre une authentification) comme par exemple l'algorithme RSA et à la fois par un chiffrement symétrique (qui est plus léger qu'un chiffrement asymétrique) et qui va assurer la transmission des informations (comme par exemple le DES). On y adjoint une fonction de hachage comme le MD5 pour s'assurer que les données sont transmises sans être corrompues. 

Sources : Wikipedia 

 
SSO
Single Sign On

Solution d'authentification permettant aux utilisateurs de ne s'authentifier (Identification + Mot de passe +... si authentification forte) qu'une seule fois, généralement à l'ouverture d'une session.

Les systèmes de SSO se chargent de présenter automatiquement par la suite aux applications les arguments (généralement identifiants et mots de passe) attendus par chaque application.

Généralement deux types de solutions sont proposées par les éditeurs pour réaliser cette fonction :

Soit la création d'agents logiciels qui s'installent sur les serveurs d'application, et c'est l'annuaire qui recelera les règles d'accès selon le profil des utilisateurs,

Soit , via l'utilisation d'une passerelle relais sur le réseau gèrant directement les sessions et l'authentification en simulant l'authentification des utilisateurs. Cette approche étant moins intrusive que la première, peut chez certains fournisseurs être "provisionnée" par les utilisateurs à la première utilisation.

Par extension le WEB SSO va permettre aux utilisateurs d'applications interfacées pour les technologies de type Internet / Intranet (client browser ou Web 2.0) de naviguer sur plusieurs services (SOA) auxquels il est habilité en ne s'authentifiant qu'une seule fois.

Le SSO doit permettre la propagation sur le réseau des informations d'authentification.
La propagation nécessite d'établir un niveau de confiance partagé entre les divers services offerts en établissant un protocole de Fédération d'Identité partagé.

 
TCP/IP
Tansmission Control Protocol/Internet Protocol :

Suite de protocoles régissant les règles de communication sur Internet et basé sur :

l'adressage IP,

le fractionnement des messages en paquets,

l'achemninement des données sur le réseau,

le contrôle des erreurs de transmission de données.

 

Tout comme le modèle ISO, le Protocole TCI/IP est un modèle en couches de protocoles.

Contrairement à ISO qui prvoit 7 niveaux, TCP/IP n'en comporte que 4 :

• Couche Accès réseau : elle spécifie la forme sous laquelle les données doivent être acheminées quel que soit le type de réseau utilisé
• Couche Internet : elle est chargée de fournir le paquet de données (datagramme)
• Couche Transport : elle assure l'acheminement des données, ainsi que les mécanismes permettant de connaître l'état de la transmission
• Couche Application : elle englobe les applications standard du réseau (Telnet, SMTP, FTP, ...)

 

Pour aller plus loin :consultez le  Document  TCP/IP disponible en Créative Common

 
UDP
User Datagram Protocol :

Protocole sans contrôle d'erreur du niveau transport du modèle TCP/IP

 
UTM
Unified Threat Management : Acronyme utilisé pour désigner les boitiers de sécurité, véritables systèmes d'exploitation dédiés à la sécurité  intégrant :

- dans une couche application :antivirus, antilogiciel espion, filtrages d'URL voire analyse de contenu, anti pourriel, détection d'intrusions, etc.
- dans une couche services réseau : pare-feu, protection contre les attaques DOS et DOS distribué, authentification de l'utilisateur, Passerelle IPsec, VPN et SSL, etc...
- dans une couche réseau : Zone de sécurité, routage, encapsulation pour transport sur le réseau étendu,  etc...

 
VLAN
Un VLAN (Virtual Local Area Network ou Virtual LAN, en français Réseau Local Virtuel) est un  réseau local  évolué dont la segmentation en sous-réseaux, en groupes de machines ou d'utilisateurs, n'est pas dictée par les regroupements physiques de machines et la répartition physique des  ponts  entre segments, mais par d'autres facteurs sur lesquels on peut agir logiquement.

Principaux avantages :
- faciliter la mobilité des utilisateurs : d'où qu'ils se connectent dans l'entreprise, ils appartiennent au même " segment " de réseau ;   
- assouplir les conditions de diffusion de données : les sous-groupes auxquels un même message est destiné peuvent être aisément reconfigurés selon les besoins ;   
- renforcer la sécurité : l'accès au réseau peut être soumis à plus de contraintes logiques.

Standards :

Les VLAN sont définis par les standards IEEE 802.1D, 802.1p, 802.1Q et 802.10. Pour plus d'information il est donc conseillé de se reporter aux documents suivants

  • IEEE 802.1D
  • IEEE 802.1Q
  • IEEE 802.10
 
VPN ou RPV
Vi:trual Private Network :

Réseau sécurisé par une forme de "tunnel" logique de communication sécurisée qui s'établit en utilisant un réseau public afin de relier deux passerelles entre elles. Les données échangées via ce tunnel sont sécurisées. Les VPN assurent à la fois l'authentification des deux extrèmités du tunnel, la confidentialité des données, leur intégrité et la non répudiation grâce à un mécanisme qui vérifie que les datagrammes (paquets de données échangées entre les deux passerelles) envoyés ont bien été reçus et l'inverse.
Actuellement il existe deux protocoles pour créer des VPN : SSL et IPSec.
Les opérateurs crées des VPN en ayant recours à une autre technologie : MPLS.
SSL Utilise le protocole HTTPS du Web et ne nécessite pas d'installation d'un logiciel sur le poste de travail. Il couvrent un spectre de besoins limités au Web contrairement aux VPN IPsec qui peuvent transporter toutes sortes de flux IP.

 
VulnérabilitéFaiblesse propre (intrinsèque) du système (humain, technique processus) qui le rend sensible à une menace.
 


Tout | A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | Autre


Glossary V1.8
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.