Le vocabulaire GRC, écrit par des praticiens qui l'appliquent.

Définitions honnêtes et affirmées pour la cybersécurité, la protection de la vie privée, le risque et la gouvernance de l'IA. Rédigées depuis le poste d'un CISO actif, pas copiées-collées d'une norme. Chaque entrée dit ce que le terme signifie réellement en pratique, ce qu'il ne signifie pas, et où trouver le texte officiel.

Un glossaire que vous pouvez citer sans sonner comme une brochure.

GRC encyclopedia

Practitioner voice

Rédigé depuis la salle d'audit, pas depuis la bibliothèque universitaire. Ce que le terme signifie et ce que les gens comprennent mal.

Sourcé et daté

Sources officielles (EUR-Lex, ANSSI, CNIL, ENISA, ISO) pour chaque entrée. Dates de révision visibles.

Lié à travers le site

Chaque entrée renvoie aux termes associés, à la page pilier et à la cohorte qui l'enseigne.

Filter by topic
A

5 entries

AI Risk Manager

AI Risk Manager est la certification (PECB / ISACA, en cours de développement) destinée aux praticiens qui pilotent des programmes de gestion des risques propres à l'IA : risque modèle, biais, dérive, transparence, risque tiers lié aux modèles. Couche opérationnelle qui complète ISO/IEC 42001 (niveau système) et l'AI Act (couche réglementaire). Complément courant du CISO ou du Lead AI Auditor.

AI governanceRead entry

AAIA · Advanced in AI Audit

AAIA est le credential avancé ISACA pour l'audit des systèmes d'IA, des modèles et de la gouvernance. Lancé en 2024. Nécessite un CISA ou équivalent. Conçu pour les auditeurs seniors souhaitant intégrer une compétence IA, aligné sur ISO 42001 et les obligations de l'AI Act relatives aux systèmes à haut risque.

Certifications & credentialsRead entry

ANSSI · Agence nationale de la sécurité des systèmes d'information

ANSSI est l'agence nationale française de cybersécurité, rattachée au Premier ministre depuis 2009. Autorité nationale en matière de politique de cybersécurité en France, elle qualifie les produits et les prestataires de services, publie EBIOS Risk Manager et agit en tant qu'autorité compétente pour la transposition de NIS 2. Ses qualifications (SecNumCloud, PVID, PASSI) constituent la référence dans le secteur public français.

Standards bodiesRead entry

Appétit pour le risque

L'appétit pour le risque est la quantité et le type de risque que l'organisation est disposée à accepter pour atteindre ses objectifs. Il est défini par la direction générale ou le conseil d'administration, par écrit. Sans lui, chaque décision de traitement du risque repose sur le jugement personnel de l'équipe risque, et l'audit ne manquera pas de le relever. À associer avec la tolérance au risque (l'écart accepté autour de l'appétit).

Risk managementRead entry

Audit phase 1 / phase 2

La certification ISO initiale se divise en phase 1 (revue documentaire et évaluation de la maturité, généralement 1 à 2 jours) et phase 2 (audit des preuves opérationnelles, 2 à 5 jours). La phase 1 confirme que le système de management existe sur le papier ; la phase 2 vérifie qu'il fonctionne réellement. La plupart des audits de phase 2 « échoués » sont des problèmes de phase 1 que personne n'a corrigés entre-temps.

Audit & complianceRead entry
C

14 entries

CIS Controls

Les CIS Critical Security Controls sont un ensemble priorisé de 18 catégories de contrôles publié par le Center for Internet Security. Les groupes d'implémentation (IG1, IG2, IG3) correspondent au niveau de maturité de l'organisation. C'est le moyen le plus rapide de porter une petite ou moyenne organisation vers une posture défendable. Le référentiel s'articule naturellement avec l'Annexe A d'ISO/IEC 27001.

Cybersecurity operationsRead entry

COBIT

COBIT est le référentiel ISACA pour la gouvernance et la gestion des technologies de l'information en entreprise. L'édition en vigueur est COBIT 2019. C'est le référentiel utilisé par les Big Four pour évaluer la maturité de la gouvernance IT, et la référence pour la certification CGEIT. Plus stratégique que ISO 27001 ; moins prescriptif que NIST.

Audit & complianceRead entry

CCAK · Certificate of Cloud Auditing Knowledge

CCAK est la certification conjointe ISACA / Cloud Security Alliance destinée aux auditeurs cloud. Elle couvre la gouvernance cloud, le CCM, le programme STAR et les considérations d'audit spécifiques aux hyperscalers. L'extension naturelle pour un titulaire du CISA dont le périmètre est passé cloud-first.

Certifications & credentialsRead entry

CSX-P · Certification Cybersecurity Practitioner

CSX-P est la certification praticienne ISACA orientée performance. L'examen se déroule dans un environnement cyber-range en conditions réelles, couvrant les cinq fonctions du NIST CSF. Moins connue que CISM ou CISA, mais l'une des rares certifications où l'examen évalue ce que vous faites réellement, pas ce que vous êtes capable d'écrire.

Certifications & credentialsRead entry

CCOA · Certified Cybersecurity Operations Analyst

CCOA est la certification opérationnelle de ISACA en cybersécurité, axée sur le travail en SOC : surveillance, détection, réponse, reprise. Le complément technique du CISM. Recommandé pour les analystes et les gestionnaires d'incidents plutôt que pour les managers ou les auditeurs.

Certifications & credentialsRead entry

CDPSE · Certified Data Privacy Solutions Engineer

CDPSE est la certification technique en matière de vie privée délivrée par ISACA. Trois domaines : gouvernance de la vie privée, architecture de la vie privée, cycle de vie des données. Le pendant technique des certifications DPO/CDPO axées sur les politiques. Particulièrement adapté aux équipes sécurité en charge de la mise en œuvre de la vie privée et aux architectes travaillant dans le cadre du GDPR ou de l'AI Act.

Certifications & credentialsRead entry

CISM · Certified Information Security Manager

CISM est la certification ISACA pour les responsables de la sécurité de l'information : gouvernance, gestion de programme, gestion des risques, gestion des incidents. La référence pour les postes de direction en sécurité, exigée dans environ 60 % des offres de CISO. Approche différente du CISSP : orientée management, moins technique.

Certifications & credentialsRead entry

CISA · Certified Information Systems Auditor

CISA est la certification de référence en audit des systèmes d'information, délivrée par ISACA depuis 1978. Cinq domaines couvrent le processus d'audit, la gouvernance, l'acquisition, les opérations et la protection des actifs. La certification vers laquelle se tournent par défaut les Big Four pour leurs missions. Reconnue mondialement ; obligatoire pour de nombreux postes d'audit interne et de conformité dans les secteurs réglementés.

Certifications & credentialsRead entry

CRISC · Certified in Risk and Information Systems Control

CRISC est la certification ISACA dédiée aux praticiens du risque IT. Elle couvre l'identification, l'évaluation, le traitement et le suivi des risques liés aux systèmes d'information. Elle fait le lien entre le risque métier et le risque IT. Complément naturel du CISA pour les auditeurs qui évoluent vers le risk management, et d'ISO 27005 / ISO 31000 pour les praticiens formés à l'ISO qui souhaitent intégrer le vocabulaire ISACA.

Certifications & credentialsRead entry

CGEIT · Certified in the Governance of Enterprise IT

CGEIT est la certification ISACA destinée aux praticiens seniors qui conseillent sur la gouvernance des systèmes d'information d'entreprise : alignement stratégique, création de valeur, optimisation des risques et des ressources. Fondée sur COBIT. Marché plus restreint que CISA / CISM, mais la certification adaptée aux DSI, conseillers IT de niveau board et consultants seniors.

Certifications & credentialsRead entry

CISO · Chief Information Security Officer

Le CISO est le dirigeant responsable de la stratégie de sécurité de l'information. Il pilote le registre des risques, dirige la réponse aux incidents, informe le conseil d'administration et valide le risque résiduel. Sous NIS 2 et DORA, la responsabilité est désormais explicite et personnelle. La fonction relève de la gouvernance, non de l'implémentation ; la partie la plus difficile reste la traduction vers les instances dirigeantes.

Certifications & credentialsRead entry

CNIL · Commission nationale de l'informatique et des libertés

La CNIL est l'autorité française de protection des données, créée en 1978. Elle applique le GDPR en France, émet des décisions contraignantes et des amendes, publie des lignes directrices (cookies, biométrie, IA) et opère l'outil PIA. Elle compte parmi les autorités de contrôle les plus actives de l'UE ; ses décisions font souvent jurisprudence à l'échelle européenne.

Standards bodiesRead entry

CRA · Cyber Resilience Act

Le Cyber Resilience Act est le règlement européen qui impose des obligations de sécurité de base aux produits matériels et logiciels comportant des éléments numériques vendus en Europe. Obligations des fournisseurs sur l'ensemble du cycle de vie : sécurité dès la conception, gestion des vulnérabilités, SBOM, cinq ans de correctifs. Adopté fin 2024, applicable à partir de décembre 2027. À combiner avec NIS 2 (angle organisationnel) et AI Act (angle modèle).

EU regulationsRead entry

CMMC · Cybersecurity Maturity Model Certification

CMMC est le modèle de maturité cybersécurité que le département américain de la Défense impose à ses contractants manipulant des informations contractuelles fédérales et des informations non classifiées contrôlées. CMMC 2.0 a été ramené à trois niveaux (Foundational, Advanced, Expert) alignés sur NIST SP 800-171 et 800-172. Si vous vendez au DoD ou faites partie de leur chaîne d'approvisionnement, vous êtes dans le périmètre.

EU regulationsRead entry
D

8 entries

DPIA · Analyse d'impact relative à la protection des données

Une DPIA est l'analyse structurée que le GDPR impose avant tout traitement à risque élevé. Elle documente la nature, la portée, le contexte et les finalités du traitement ; évalue la nécessité et la proportionnalité ; identifie les mesures d'atténuation. La CNIL met à disposition un outil PIA gratuit à cet effet. Omettre une DPIA lorsqu'elle était obligatoire est l'un des moyens les plus sûrs d'attirer l'attention d'un régulateur.

Privacy & data protectionRead entry

DPO · Data Protection Officer

Le DPO est le rôle imposé par le GDPR pour surveiller la conformité, conseiller le responsable de traitement et servir de point de contact avec l'autorité de contrôle. Obligatoire pour les autorités publiques et pour les traitements impliquant une surveillance systématique à grande échelle ou des données de catégories particulières. L'indépendance et l'accès à la direction sont les deux points que les auditeurs vérifient concrètement.

Privacy & data protectionRead entry

DORA · Digital Operational Resilience Act

DORA est le règlement européen qui impose un cadre de résilience unifié aux entités financières et à leurs prestataires TIC critiques. Cinq piliers : gestion des risques TIC, notification des incidents, tests de résilience incluant le TLPT, risque TIC lié aux tiers, partage d'informations. Applicable depuis le 17 janvier 2025. Il est plus contraignant que NIS 2 sur le volet TIC, et la règle lex specialis lui confère la primauté pour les entités financières.

EU regulationsRead entry

Directive NIS 1

NIS 1 (Directive 2016/1148) était la première directive européenne de cybersécurité intersectorielle, couvrant les opérateurs de services essentiels et les fournisseurs de services numériques. Remplacée par NIS 2 en octobre 2024, car son périmètre était trop étroit, son application inégale et ses obligations de notification d'incidents sans véritable portée. Citée ici principalement pour que vous sachiez ce qu'était réellement l'« ancien régime » dont vos collègues gardent encore un vague souvenir.

EU regulationsRead entry

Directive ePrivacy

La directive ePrivacy (2002/58/CE, modifiée en 2009) est la « loi cookies » que tout le monde applique à moitié. Elle régit la confidentialité des communications électroniques et les technologies de traçage sur les appareils des utilisateurs. Antérieure au GDPR et toujours en vigueur ; le règlement ePrivacy censé la remplacer est bloqué en négociation depuis 2017. Les autorités nationales de protection des données (CNIL, Garante, AEPD) en assurent l'application sur leur territoire.

EU regulationsRead entry

DR · Disaster Recovery

Le disaster recovery est le sous-ensemble du BCM centré sur l'IT : restaurer les infrastructures, les applications et les données après une interruption. Le RPO, le RTO et les runbooks y trouvent leur place. Un plan de DR qui n'a jamais été testé de bout en bout est une fiction. ISO 24762 le couvrait autrefois ; la pratique actuelle renvoie à ISO 22301 complété par les runbooks opérationnels.

Resilience & continuityRead entry

Défense en profondeur

La défense en profondeur est le principe consistant à superposer les contrôles afin qu'aucune défaillance isolée ne compromette le système. Réseau, terminal, application, données, personnes, physique : chaque couche ralentit l'attaquant, augmente son coût d'action et vous achète du temps de détection. Fondamentale depuis les années 1990. Les auditeurs s'attendent à la voir en place ; les éditeurs adorent vous vendre des couches supplémentaires.

Cybersecurity operationsRead entry

DDoS · Déni de service distribué

DDoS est l'attaque qui submerge un service depuis de nombreuses sources afin d'en épuiser la capacité. Volumétrique, protocolaire ou applicative. La mitigation s'est banalisée (Cloudflare, Akamai, AWS Shield). La question de risque n'est plus « pouvons-nous le bloquer » mais « les services critiques sont-ils bien acheminés via la protection, y compris les API que l'on ne voit jamais dans les tableaux de bord ».

Cybersecurity operationsRead entry
E

5 entries

ENISA · Agence de l'Union européenne pour la cybersécurité

ENISA est l'agence de cybersécurité de l'UE, dont le siège est à Athènes. Elle accompagne les États membres et les institutions européennes sur la politique de cybersécurité, la coopération opérationnelle et le cadre européen de certification. Elle est impliquée opérationnellement dans la coopération NIS 2, les normes d'exécution DORA et le socle de sécurité de l'AI Act. Son rapport annuel sur le paysage des menaces est la publication annuelle la plus citée du secteur.

Standards bodiesRead entry

EBIOS RM · EBIOS Risk Manager

EBIOS Risk Manager est la méthode d'analyse des risques cyber de l'ANSSI, centrée sur les scénarios d'attaque stratégiques. Elle met en regard les processus métier et les objectifs des attaquants, puis en déduit les mesures techniques. Standard dans le secteur public français et chez les opérateurs d'importance vitale. Particulièrement efficace pour expliquer au conseil d'administration POURQUOI un scénario spécifique est préoccupant ; moins répandue dans les audits multinationaux du secteur privé.

Risk managementRead entry

EU AI Act

L'EU AI Act est le premier règlement mondial complet sur l'IA. Quatre niveaux de risque : inacceptable (interdit), élevé (obligations lourdes et évaluation de conformité), limité (transparence), minimal. Application progressive jusqu'en août 2027. À combiner avec ISO 42001 si vous cherchez une réponse système de management plutôt qu'une simple checklist. Les règles relatives aux modèles GPAI s'ajoutent par-dessus.

EU regulationsRead entry

EDR · Endpoint Detection and Response

EDR est la plateforme à base d'agents qui enregistre l'activité des postes de travail, détecte les comportements suspects et permet aux analystes d'isoler ou de remédier les hôtes compromis. XDR étend la visibilité aux endpoints, au réseau et au cloud ; MDR est la couche de service managé. L'endpoint reste le point d'entrée le plus courant ; EDR est désormais un prérequis de base, pas un facteur de différenciation.

Cybersecurity operationsRead entry

Exercice sur table

Un exercice sur table est une simulation sous forme de discussion d'un scénario perturbateur, conduite avec l'équipe de réponse réunie autour d'une table. Peu coûteux, rapide, il révèle les lacunes qu'aucune revue documentaire ne détecte. Pratique exigée par ISO 22301, NIS 2 et DORA, et l'activité offrant le meilleur retour sur investissement dans un programme BCM. Planifiez-les trimestriellement, pas annuellement.

Resilience & continuityRead entry
G

3 entries

Gestion des correctifs

La gestion des correctifs est le processus opérationnel qui consiste à prendre un correctif publié et à le déployer sur l'ensemble du parc, selon un SLA défini, avec vérification. C'est souvent le maillon faible : les correctifs d'urgence entrent en collision avec les fenêtres de changement, la compatibilité des éditeurs et les dépendances tierces. L'auditeur demande systématiquement le SLA, la liste des dérogations et les métriques.

Cybersecurity operationsRead entry

Gestion des vulnérabilités

La gestion des vulnérabilités est le cycle de découverte, de priorisation, de remédiation et de vérification des vulnérabilités dans votre parc. Les scanners remontent des milliers d'alertes ; la discipline réside dans la priorisation (criticité des actifs, disponibilité des exploits, exposition métier) plutôt que dans le scan lui-même. CVE, CVSS et KEV en sont le vocabulaire de base.

Cybersecurity operationsRead entry

GDPR · Règlement général sur la protection des données

Le GDPR régit les données personnelles dans l'UE et partout où des résidents européens sont servis. Base légale, droits des personnes concernées, responsabilité, notification des violations, contrôle par les autorités de surveillance. Les amendes maximales (20 millions d'euros ou 4 % du chiffre d'affaires mondial) font les manchettes ; la plupart des mesures d'exécution passent par le dialogue avec les autorités de contrôle, non par le plafond.

Privacy & data protectionRead entry
I

15 entries

IAM · Gestion des identités et des accès

L'IAM est la discipline qui détermine qui peut accéder à quoi, quand, comment et sous quelles conditions. Provisionnement, authentification, autorisation, déprovisionnement. L'identité est le nouveau périmètre. Toute architecture Zero Trust est, au fond, un problème IAM complexe déguisé en problème réseau.

Cybersecurity operationsRead entry

ISO 19011

ISO 19011 est la norme de lignes directrices pour l'audit des systèmes de management. Générique, elle s'applique aussi bien aux audits ISO 27001, 9001 et 22301. Elle définit les principes d'audit, la gestion des programmes d'audit, le cycle d'audit et la compétence des auditeurs. Le cours Lead Auditor l'enseigne ; les auditeurs que vous rencontrez sur le terrain ont été formés sur cette base.

Audit & complianceRead entry

ISO 22301

ISO 22301 est la norme internationale pour les systèmes de management de la continuité d'activité (SMCA). Elle spécifie les exigences pour planifier, exploiter, surveiller et améliorer un SMCA permettant de rétablir les opérations critiques après une interruption. Elle est de plus en plus exigée par les régulateurs financiers depuis DORA, et par les autorités de supervision NIS 2 pour les opérateurs de services essentiels.

Resilience & continuityRead entry

ISO 31000

ISO 31000 est la norme générique de management du risque. Principes, cadre organisationnel et processus itératif. Ce n'est PAS un système de management certifiable : il n'existe pas de ISO 31000 Lead Auditor, en dépit de ce qu'affirment certains catalogues. Le parcours PECB est Foundation → Risk Manager → Lead Risk Manager. À utiliser lorsque le risque dépasse le seul périmètre de la sécurité de l'information.

Risk managementRead entry

ISO/IEC 27001

ISO 27001 est le référentiel certifiable que les auditeurs utilisent pour évaluer votre sécurité de l'information. La révision 2022 a resserré l'annexe A à 93 mesures réparties en quatre thèmes (organisationnel, personnes, physique, technologique). Votre SMSI repose entièrement sur la Déclaration d'Applicabilité et les preuves de fonctionnement. Tout le monde s'y réfère ; peu le pilotent vraiment.

Information securityRead entry

ISO/IEC 27002

ISO/IEC 27002 est le guide de mise en œuvre des contrôles de l'annexe A de ISO/IEC 27001. Non certifiable en tant que tel. Les auditeurs s'y réfèrent pour contester COMMENT vous opérez un contrôle, pas seulement s'il est « en place ». Considérez-le comme le manuel opérationnel qui accompagne la norme de certification.

Information securityRead entry

ISO/IEC 27005

ISO 27005 est la méthodologie de gestion des risques de sécurité de l'information qui s'articule avec ISO 27001. Identification, analyse, évaluation, traitement, acceptation. La révision 2022 s'aligne sur les principes d'ISO 31000 et clarifie la relation avec le chapitre 6 d'ISO 27001. Moins prescriptive qu'EBIOS RM, mais la lingua franca de référence avec les auditeurs.

Risk managementRead entry

ISO/IEC 27017

ISO 27017 est l'extension de contrôles de sécurité cloud adossée à ISO 27001. Elle ajoute des contrôles spécifiques au cloud et précise la répartition des responsabilités entre prestataire et client. Si votre périmètre ISMS inclut des charges de travail hyperscaler (AWS, Azure, GCP, OVH), les auditeurs vous demanderont quels contrôles 27017 vous appliquez.

Information securityRead entry

ISO/IEC 27018

ISO 27018 est l'extension de contrôles privacy d'ISO 27001 destinée aux prestataires cloud agissant en tant que sous-traitants de données à caractère personnel. Il fait le lien entre ISO 27001 et les obligations GDPR du sous-traitant. Détenu principalement par les hyperscalers, il est utilisé par leurs clients comme élément d'entrée pour la due diligence fournisseur.

Privacy & data protectionRead entry

ISO/IEC 27034

ISO 27034 est la norme de sécurité des applications. Elle se compose de plusieurs parties et couvre l'ensemble du cycle de vie logiciel sécurisé : exigences, conception, développement, test, déploiement, maintenance. Moins connue qu'ISO/IEC 27001 car elle s'inscrit dans le SDLC, c'est pourtant la seule norme ISO qui parle le langage des équipes de développement. Elle s'articule naturellement avec les pratiques OWASP et SBOM.

Information securityRead entry

ISO/IEC 27037

ISO 27037 est la norme de forensique numérique couvrant l'identification, la collecte, l'acquisition et la préservation des preuves numériques. C'est le référentiel qu'une équipe forensique interne, un CERT ou un consultant en support judiciaire utilise pour maintenir une chaîne de custody irréprochable. Considérez-le comme le guide de référence auquel auditeurs et juristes compareront vos actions après un incident.

Cybersecurity operationsRead entry

ISO/IEC 27701

ISO 27701 est l'extension de gestion des informations de confidentialité adossée à ISO 27001. Elle ajoute les obligations du responsable de traitement et du sous-traitant par-dessus le SMSI. Utile pour les organisations souhaitant un système de management certifiable unique couvrant à la fois la sécurité et la vie privée. Elle s'articule avec le GDPR mais ne « remplace » pas le travail de conformité GDPR.

Privacy & data protectionRead entry

ISO/IEC 42001

ISO 42001 est le premier standard international pour les systèmes de management de l'IA, publié fin 2023. L'équivalent AIMS de l'ISMS de l'ISO 27001. Conçu pour les organisations qui doivent gouverner la conception, le déploiement et l'exploitation de l'IA : risque, responsabilité, transparence, amélioration continue. S'articule directement avec les obligations à haut risque de l'AI Act.

AI governanceRead entry

ISACA · Information Systems Audit and Control Association

ISACA est l'association mondiale des professionnels de l'audit IT, de la sécurité, du risque et de la gouvernance. Fondée en 1969, dont le siège est à Schaumburg (Illinois), elle compte plus de 165 000 membres dans 188 pays. Elle délivre les certifications CISA, CISM, CRISC, CGEIT, CDPSE, AAIA, CCOA. Elle publie COBIT. Cyber Academy est un partenaire premium accrédité ISACA.

Standards bodiesRead entry

ISMS · Système de management de la sécurité de l'information

Un ISMS est le système documenté que vous pilotez pour protéger vos actifs informationnels. Il est fondé sur le risque, étayé par des preuves et soumis à la revue de direction. Ce n'est pas un classeur de politiques. Les auditeurs ne notent pas vos politiques ; ils notent vos preuves d'exploitation. Cycle Plan-Do-Check-Act, certifié ISO/IEC 27001, avec la déclaration d'applicabilité comme artefact central.

Information securityRead entry
M

4 entries

MFA · Authentification multi-facteurs

Le MFA impose que l'authentification repose sur deux facteurs ou plus issus de catégories distinctes (connaissance, possession, inhérence). Tous les MFA ne se valent pas : les codes par SMS et e-mail sont hameçonnables, les notifications push exposent à la fatigue d'approbation, les tokens matériels et les passkeys constituent les formes robustes. NIS 2 et DORA imposent tous deux un MFA « fort » sur les accès critiques.

Cybersecurity operationsRead entry

MITRE ATT&CK

MITRE ATT&CK est la base de connaissances ouverte des tactiques, techniques et procédures (TTPs) adversariales observées dans la pratique. Vocabulaire de référence pour la défense éclairée par la menace : règles de détection, scénarios red team, formation des analystes SOC. Mise à jour en continu, libre d'accès. Si vos règles SIEM ne référencent pas les identifiants de techniques ATT&CK, vous travaillez plus que nécessaire.

Cybersecurity operationsRead entry

MTTD / MTTR · Mean Time to Detect / Recover

Le MTTD est le temps moyen entre le début d'un incident et sa détection. Le MTTR est le temps moyen entre la détection et le rétablissement. Ensemble, ces deux indicateurs constituent les métriques opérationnelles de référence d'un SOC et d'un programme de réponse aux incidents. Les benchmarks sectoriels se situent généralement en jours ou en semaines ; les programmes matures visent quelques heures.

Cybersecurity operationsRead entry

Moindre privilège

Le moindre privilège est le principe selon lequel chaque identité (humaine ou machine) ne dispose que des permissions strictement nécessaires à sa fonction, et pas davantage. Le concept paraît évident ; il est rarement appliqué. La plupart des incidents d'exfiltration de données débutent par un compte de service surprivilégié que personne n'est en mesure de justifier lorsqu'on le sollicite. À combiner avec des revues d'accès régulières.

Cybersecurity operationsRead entry
N

4 entries

NIS 2 Directive

NIS 2 est la directive européenne qui engage directement la responsabilité des dirigeants en matière de cybersécurité. Si votre organisation est de taille moyenne ou grande et opère dans l'un des 18 secteurs listés, vous êtes dans le périmètre. Le chronomètre démarre dès le premier incident significatif : alerte précoce sous 24 heures, notification sous 72 heures, rapport complet à un mois. Les sanctions sont sévères (10 millions d'euros ou 2 % du chiffre d'affaires mondial). L'état de transposition varie selon les pays.

EU regulationsRead entry

NIST CSF · NIST Cybersecurity Framework

NIST CSF est le référentiel de cybersécurité publié par le National Institute of Standards and Technology américain. La révision 2.0 (2024) a ajouté « Govern » aux cinq fonctions existantes (Identify, Protect, Detect, Respond, Recover). Non certifiable ; utilisé comme référence de maturité. Souvent associé à ISO/IEC 27001 dans les organisations transatlantiques.

Information securityRead entry

NIST SP 800-171

NIST SP 800-171 est la norme américaine qui définit les exigences de sécurité pour la protection des informations non classifiées contrôlées dans les systèmes non fédéraux. C'est le socle technique du CMMC pour les sous-traitants de la défense. La révision 3 (2024) a renforcé les contrôles. Si vous vendez au DoD américain, cette norme est obligatoire ; si vous opérez uniquement en Europe, elle est documentaire.

Information securityRead entry

Non-conformité (NC)

Une non-conformité est le constat de l'auditeur qu'une exigence n'est pas satisfaite. Les NC majeures menacent le certificat ; les NC mineures requièrent un plan d'action corrective assorti d'une échéance. Des NC mineures répétées dans un même domaine peuvent être requalifiées en majeures lors du prochain audit de surveillance. L'objectif n'est pas zéro NC : c'est une action corrective honnête et traçable.

Audit & complianceRead entry
P

6 entries

PCI DSS

PCI DSS est la norme de sécurité des données de l'industrie des cartes de paiement. Elle est obligatoire pour toute organisation qui stocke, traite ou transmet des données de titulaires de cartes. La version 4.0.1 est la révision en vigueur, pleinement obligatoire depuis le 31 mars 2025. La réduction de périmètre (tokenisation, segmentation) est là où l'investissement est le plus rentable ; la conformité est binaire, mais la taille que vous donnez à votre périmètre change tout.

Audit & complianceRead entry

Phishing

Le phishing est l'attaque d'ingénierie sociale qui pousse un utilisateur à cliquer sur un lien malveillant, ouvrir un fichier malveillant ou divulguer ses identifiants. Variantes : spear phishing (ciblé), whaling (cadres dirigeants), smishing (SMS), vishing (voix), BEC (compromission de messagerie professionnelle). La formation compte ; le MFA résistant au phishing compte davantage.

Cybersecurity operationsRead entry

PAM · Privileged Access Management

PAM est le sous-ensemble de l'IAM centré sur les comptes à privilèges : administrateurs, root, comptes de service, break-glass. Il coffre les credentials, mandate les sessions et enregistre l'activité. C'est la première cible de l'attaquant après la compromission initiale, et le contrôle que les auditeurs examinent avec le plus de rigueur dans le cadre de NIS 2 et DORA.

Cybersecurity operationsRead entry

PECB · Professional Evaluation and Certification Board

PECB est l'organisme de certification accrédité basé à Montréal qui délivre des certifications professionnelles sur 30+ normes ISO dans 150+ pays. Sécurité de l'information, risque, BCM, gouvernance de l'IA, vie privée, qualité. Cyber Academy est PECB Gold Partner. Les certifications portent le label PECB ; les formations se déroulent via des partenaires accrédités.

Standards bodiesRead entry

Protection de la vie privée dès la conception et par défaut

La protection de la vie privée dès la conception (GDPR Article 25) est l'obligation d'intégrer les mesures de protection dans les systèmes dès la phase des exigences. La protection par défaut est l'obligation de faire de l'option la plus protectrice la norme. Les auditeurs recherchent des preuves documentées (DPIA, revue de conception, paramètres de rétention par défaut) plutôt qu'un slogan dans une politique.

Privacy & data protectionRead entry

Pseudonymisation

La pseudonymisation est la technique définie à l'article 4(5) du GDPR : elle consiste à remplacer les identifiants directs par des jetons réversibles, la clé étant conservée séparément. Elle réduit le risque et ménage la bienveillance des autorités de contrôle, mais les données restent des données à caractère personnel. L'anonymisation est la technique qui permet d'échapper totalement au champ du GDPR ; la pseudonymisation, non. Attention à la confusion entre les deux.

Privacy & data protectionRead entry
R

5 entries

RTO / RPO · Objectifs de délai de reprise et de point de reprise

Le RTO est la durée maximale acceptable pendant laquelle un processus métier peut rester indisponible avant de causer un préjudice inacceptable. Le RPO est la perte de données maximale tolérée, exprimée en temps, avant la survenue d'une interruption. Ces deux indicateurs sont issus du BIA. Les chiffres que votre DSI inscrit dans le BCP sans consulter le métier sont précisément ceux qui ne tiennent pas sous la pression.

Resilience & continuityRead entry

Ransomware

Le ransomware est la catégorie de malware qui chiffre les données et exige un paiement en échange de la clé, souvent combiné à un vol de données et à une extorsion (double extorsion). Vecteurs d'attaque : phishing, exposition sur Internet, chaîne d'approvisionnement. Les assureurs couvrent moins, les régulateurs contrôlent davantage. C'est le travail en amont (sauvegardes, segmentation, plan de réponse aux incidents) qui détermine l'issue, non la négociation.

Cybersecurity operationsRead entry

ROPA · Registre des activités de traitement

Le ROPA est l'inventaire documenté des activités de traitement requis par l'article 30 du GDPR. Les responsables du traitement y indiquent la finalité, les catégories de données, les destinataires, les durées de conservation et les transferts ; les sous-traitants y indiquent les responsables servis, les catégories et les transferts. La plupart des organisations sous-estiment le travail de maintenance que cela représente. L'autorité de contrôle demande le ROPA en premier lorsqu'une enquête est ouverte.

Privacy & data protectionRead entry

Registre des risques

Le registre des risques est la liste de référence, vivante, des risques identifiés, avec leur analyse, leur évaluation, leur traitement et leurs responsables. Ce n'est pas un tableur à usage unique. Les auditeurs attendent des entrées datées, des propriétaires nommés, des modifications traçables et des cycles de revue liés à la revue de direction. La version destinée au conseil d'administration est synthétique ; la version opérationnelle contient l'intégralité des informations.

Risk managementRead entry

Risque inhérent vs risque résiduel

Le risque inhérent est l'exposition avant les contrôles. Le risque résiduel est ce qui subsiste après leur application. Les auditeurs examinent l'écart : il doit être justifié, accepté (ou traité davantage) par un propriétaire nommément désigné, et cohérent avec l'appétit pour le risque. Afficher « résiduel = zéro » quelque part dans le registre est un signal d'alarme, pas une victoire.

Risk managementRead entry
S

7 entries

SCC · Clauses Contractuelles Types

Les CCT sont des clauses types approuvées par la Commission européenne pour transférer des données personnelles vers des pays tiers en l'absence de décision d'adéquation. Les CCT de 2021 ont remplacé les versions antérieures et imposent une analyse d'impact du transfert (Transfer Impact Assessment, TIA) depuis l'arrêt Schrems II. Un passage obligé pour toute organisation utilisant des fournisseurs SaaS non européens.

Privacy & data protectionRead entry

SoA · Déclaration d'applicabilité

La déclaration d'applicabilité est le document maîtrisé qui indique à l'auditeur quels contrôles de l'Annexe A vous sont applicables, pourquoi, et où se trouvent les preuves. Obligatoire dans le cadre d'ISO 27001. L'incohérence entre la déclaration d'applicabilité, le plan de traitement des risques et les opérations réelles est la cause la plus fréquente de non-conformités lors de l'audit de phase 2.

Information securityRead entry

SOC 2

SOC 2 est le rapport d'attestation de l'AICPA portant sur les contrôles d'un prestataire de services, couvrant cinq critères de confiance (sécurité, disponibilité, intégrité du traitement, confidentialité, vie privée). Référence canonique nord-américaine pour les éditeurs SaaS ; ISO 27001 en est l'équivalent européen. Type I = constat à un instant donné ; Type II = efficacité opérationnelle sur 6 à 12 mois. Fréquemment exigé dans les processus d'achat des grandes entreprises.

Audit & complianceRead entry

Schrems II

Schrems II est l'arrêt de la CJUE de 2020 qui a invalidé le Privacy Shield UE-États-Unis et introduit l'obligation de Transfer Impact Assessment. Tout transfert vers un pays tiers nécessite désormais une analyse documentée du droit national en matière de surveillance et des mesures supplémentaires. Remplacé en pratique par le EU-US Data Privacy Framework (2023), mais la discipline du TIA est restée.

Privacy & data protectionRead entry

SIEM · Security Information and Event Management

Un SIEM agrège les journaux, normalise les événements et exécute des règles de détection sur l'ensemble de votre stack. C'est la couche de visibilité dont dépend le SOC. Les éditeurs SIEM modernes (Splunk, Sentinel, Elastic, Sumo) intègrent de plus en plus le SOAR et l'UEBA. La difficulté n'est pas l'achat du SIEM ; c'est l'ingénierie des données et le pipeline de détection-as-code qui s'ensuivent.

Cybersecurity operationsRead entry

SOC · Security Operations Center

Un SOC regroupe l'équipe et les outils qui surveillent, détectent, analysent et répondent aux événements de sécurité en temps réel. Analystes en niveaux (T1 détection, T2 investigation, T3 threat hunting), 8x5 ou 24x7. Interne, externalisé (MSSP) ou hybride. Sans SOC, le SIEM est une archive de logs ; avec un SOC, c'est un système d'alerte précoce.

Cybersecurity operationsRead entry

SOAR · Security Orchestration, Automation and Response

SOAR est la couche qui prend les alertes du SIEM et exécute des playbooks : enrichissement, triage, confinement, ticketing. Objectif : réduire le MTTR et libérer les analystes des tâches de copier-coller. Méfiez-vous des promesses excessives des éditeurs : un SOAR ne vaut que ce que valent les playbooks que vous écrivez et maintenez. La plupart des projets SOAR en échec ont manqué d'auteurs de playbooks.

Cybersecurity operationsRead entry
T

4 entries

TPRM · Gestion des risques tiers

Le TPRM est la discipline qui gouverne les risques introduits par les fournisseurs, sous-traitants et prestataires de services. Diligence raisonnable à l'entrée en relation, clauses contractuelles, assurance continue, fin de relation. Imposé par NIS 2 (sécurité de la chaîne d'approvisionnement) et DORA (risque lié aux tiers ICT). La panne Crowdstrike, l'incident SolarWinds : les deux ont fait du TPRM un sujet de niveau conseil d'administration.

Risk managementRead entry

Test d'intrusion

Un test d'intrusion est une simulation d'attaque autorisée et délimitée, visant à identifier les failles exploitables avant que de véritables attaquants ne le fassent. Black box / grey box / white box, interne / externe, applicatif / infrastructure. À distinguer du scan de vulnérabilités (automatisé, large couverture) et du red team (plusieurs mois, orienté objectifs). Les rapports alimentent le backlog de remédiation.

Cybersecurity operationsRead entry

TLPT · Threat-Led Penetration Testing

Le TLPT est l'exercice red team supervisé par le régulateur, imposé par DORA aux entités financières significatives. Fondé sur le cadre TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). Exercice de plusieurs mois, piloté par le renseignement sur les menaces, supervisé par l'autorité nationale. Le test le plus exigeant qu'un CISO aura à affronter, et celui qui révèle ce que le SOC est vraiment.

Cybersecurity operationsRead entry

Traitement du risque

Le traitement du risque, c'est ce que vous faites une fois le risque identifié : éviter, réduire, transférer, accepter. Chaque décision est documentée, justifiée par l'appétence au risque, et tracée depuis la SoA jusqu'aux mesures et aux preuves d'application. La majorité des audits échoués se résument à un seul point : le plan de traitement et la réalité ont divergé, et personne n'a mis à jour la SoA.

Risk managementRead entry

Besoin de la formation pratique ?

Une définition, c'est le début. Une certification, c'est la preuve.

Chaque entrée de l'encyclopédie renvoie à la cohorte qui enseigne le concept de bout en bout. De NIS 2 à ISO 42001, le catalogue est réservable sur la même page.